1

我已经使用 Gulp 一段时间了,最​​近我注意到在安装或更新软件包时会出现安全警告。我运行审核并获得了很多信息,但我不确定这是否特别适用于生产服务器,或者它是否也适用于本地服务器。

我也尝试过使用 gulp 4,它看起来不错,但我只是对 3.9.1 版本感到好奇,因为仍然存在一些差异。

我想简短的问题是 gulp 3.9.1 在本地环境中可以安全使用还是会产生安全问题?

4

1 回答 1

0

我会说这是安全的。以下是我对报告的漏洞的看法:

  • minimatch模块有 4 个 High 类型Regular Expression Denial of Service的漏洞。这些主要与用户输入有关,Gulp 只是一个构建工具,我看不出它会受到什么影响

  • lodash模块类型Prototype Pollution的低漏洞。我不能肯定地说,但是如果您在构建中加载一些未知的外部模块,您可能会受到此影响,否则您会没事的。

无论如何,更新到 Gulp 4 应该可以消除所有疑虑。

于 2018-11-08T16:59:43.660 回答