Fix frontend npm audit vulnerability

[5000user5000]

Summary

This PR fixes the frontend npm audit finding by updating the transitive ws dependency in package-lock.json.

Changes

• updates ws from 8.20.0 to 8.21.0
• clears the reported moderate npm audit vulnerability

Verification

• cd frontend && npm audit --audit-level=moderate
  • found 0 vulnerabilities
• cd frontend && npm run test
  • 29 test files passed
  • 107 tests passed
• cd frontend && npm run build
  • build passed

[vercel]

The latest updates on your projects. Learn more about Vercel for GitHub.

Project	Deployment	Actions	Updated (UTC)
cloud-native	Ready	Preview, Comment	May 29, 2026 12:42am

[5000user5000]

Backend OWASP Dependency-Check findings 目前建議先不處理，也不安排在近期 follow-up PR。

原因是這批 findings 主要來自 Spring Boot 管理的 framework dependency graph，例如 Spring Framework、Spring Security、embedded Tomcat、Jackson、PostgreSQL JDBC driver、Log4j API 等。要真正清掉這些 findings，通常不是改一兩行業務程式碼，而是升級 Spring Boot / Spring Security / embedded Tomcat 等整組 framework stack。

這類升級影響範圍較大，可能牽動：

• authentication / security behavior
• controller request handling
• validation behavior
• JPA / transaction behavior
• embedded server behavior
• dependency compatibility

以目前期末專案階段來看，專案的主要品質指標是 tests、coverage、SonarQube Quality Gate，以及功能穩定性。若為了清 OWASP 報告臨時升級 backend framework stack，回歸風險會高於收益。

因此這次只處理低風險的 frontend npm audit finding。Backend OWASP findings 暫時記錄為已知 dependency scan result，不在目前專案交付範圍內處理。未來如果專案要長期維護或上線，再規劃獨立的 dependency upgrade cycle，並搭配完整 regression testing。