npm security issues

[hjr3]

                       === npm audit security report ===

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ tachyons-cli                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ tachyons-cli > copy-files > lodash                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/577                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.11                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ tachyons-cli                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ tachyons-cli > copy-files > lodash                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/782                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.12                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ tachyons-cli                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ tachyons-cli > copy-files > lodash                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1065                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ js-yaml                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.13.0                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ tachyons-cli                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ tachyons-cli > tachyons-build-css > cssnano > postcss-svgo > │
│               │ svgo > js-yaml                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/788                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Code Injection                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ js-yaml                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.13.1                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ tachyons-cli                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ tachyons-cli > tachyons-build-css > cssnano > postcss-svgo > │
│               │ svgo > js-yaml                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/813                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 5 vulnerabilities (1 low, 1 moderate, 3 high) in 906109 scanned packages
  5 vulnerabilities require manual review. See the full report for details.

[SilentComics]

These warnings may be related to tachyons-cli installation. See #24, to reinstall globally, hope this helps.

[hjr3]

Thank you, I missed that issue!

Installing globally does not change the fact that these vulnerabilities still exist though. The solution given by @YJPL is hiding the issue away.

If this is the official stance, then we may want to consider putting a note in https://github.com/tachyons-css/cli#installation that warns people of the vulns being present if installing locally. Not everyone is using npm audit.

[SilentComics]

Installing globally does not change the fact that these vulnerabilities still exist though.

Do they? I use npm audit and no warning showed up at all since installing globally. My understanding of the npm ecosystem is rather basic so there is no way for me to tell if the issues are still there but hidden. That would be concerning.

[hjr3]

npm audit does not check globally installed packages. See How to npm audit global packages for instructions on how to do so.

[SilentComics]

Thank you, this is very useful.