标签: node.js npm gulp web-development-server npm-audit
我已经使用Gulp一段时间了,最近我注意到在安装或更新软件包时出现安全警告。我运行了审核并获得了很多信息,但是我不确定这是否特别适用于生产服务器或它是否也适用于本地服务器。
我也尝试过使用gulp 4,这看起来还不错,但我对3.9.1版本感到好奇,因为仍然存在一些差异。
我想这个简短的问题是,gulp 3.9.1在本地环境中可以安全使用,还是会造成安全问题?
答案 0 :(得分:0)
我会说这很安全。这是我对报告的漏洞的看法:
minimatch模块有四个Regular Expression Denial of Service类型的高漏洞。这些主要与用户输入有关,Gulp只是一个构建工具,我不认为它会受到此影响
Regular Expression Denial of Service
lodash模块的Prototype Pollution类型的低漏洞。我不能肯定地说,但是如果您在构建中加载一些未知的外部模块,则可能会受到此影响,否则就可以了。
Prototype Pollution
无论如何,更新到Gulp 4应该消除所有疑问。