openSCA对框架依赖扫描结果中的漏洞问题 #270
Description
首先非常感谢大佬前几天帮忙解决了egg-security中的间接依赖项的版本漏洞问题,目前项目在openSCA扫描结果中还存在5个间接依赖问题,不太好解决,还请大佬帮忙升级一下间接依赖:
- socket.io-parser:[egg-socket.io:4.1.6]/[socket.io:2.5.0]/[socket.io-client:2.5.0]/[socket.io-parser:3.3.3]]
- engine.io:[egg-socket.io:4.1.6]/[socket.io:2.5.0]/[engine.io:3.6.1]]
- semver:[egg:3.22.0]/[egg-cluster:2.2.1]/[semver:5.7.2]]
- serialize-javascript: [egg-bin:5.17.1]/[mocha:10.2.0]/[serialize-javascript:6.0.0]]
- debug: [egg-socket.io:4.1.6]/[socket.io:2.5.0]/[debug:4.1.1]]
-
其中三项属于egg-socket.io下的socket.io依赖的问题,能否提高socket.io版本,如果担心已有项目会受影响,是否可以提供一个5版本以上的egg-socket.io并在其中使用高版本的socket.io,可供使用