[안전] acorn을 6.0.2에서 6.4.1로 증가

4954 단어 ghsup

묘사

6.0.2에서 6.4.1로의 충돌acorn.이 업데이트에는 보안 복구 프로그램이 포함되어 있습니다.
취약점 복구
출처The GitHub Security Advisory Database.

Moderate severity vulnerability that affects acorn, minimist, and svjsl There are high severity security vulnerabilities in two of ESLints dependencies: - acorn - minimist

The releases 1.8.3 and lower of svjsl (JSLib-npm) are vulnerable, but only if installed in a developer environment. A patch has been released (v1.8.4) which fixes these vulnerabilities.

Identifiers:

  • CVE-2020-7598
  • SNYK-JS-ACORN-559469 (doesn't have a CVE identifier)

Affected versions: >= 6.0.0 < 6.4.1


언약
  • 9a2e9b6 태깅 버전 6.4.1
  • 90a9548 regexp검증기
  • 의 대리항목 쌍을 더욱 엄격하게 검사
  • df0cf1a 태깅 버전 6.4.0
  • 5303412 도 해상도를 통해 해상도를 내보낸다.도토리
  • efe273e 플러그인
  • 에 영패 유형 등 제공
  • ac6decb 태그 버전 6.3.0
  • 7e9817d 허용 소스 유형:ecmaVersion<6
  • 도 모듈 허용
  • e2b8cc0 allowReserved="never"
  • 복구 시 새로운 표현식의 중단 해석
    acorn을 업데이트합니다.d、 ts
  • 1555c52 태깅 버전 6.2.1
  • 77c20fa
  • 에서 볼 수 있는 추가 제출
    compare view
    이 PR과의 충돌은 사용자가 직접 변경하지 않는 한 해결될 수 있습니다.주석@dependabot rebase을 사용하여 수동으로 재기준을 트리거할 수도 있습니다.
    신뢰성 명령 및 옵션
    이 PR에 의견을 달면 Cortebot 작업을 트리거할 수 있습니다.
    - "@relateot rebase"는 이 PR의 기초를 재설정합니다.
    - "@relateot recreate"는 이 PR을 다시 만들고 편집한 내용을 덮어씁니다.
    - "@cordenot merge"는 CI 전송 후 이 PR을 병합합니다.
    - "@relateot squash and merge"는 CI 전송 후 이 PR을 누르고 병합합니다.
    - "@Correlot cancel merge"는 이전에 요청한 병합을 취소하고 자동 병합을 차단합니다.
    - 이 PR이 종료되면 @Correlot Recover에서 다시 열립니다.
    - @CorrelotClose가 PR을 닫고 Correlott를 중지하고 다시 생성합니다.수동으로 닫아서 같은 결과를 얻을 수 있습니다
    - "@corderot ignore this main version"은 이 PR을 닫고 Corderot가 이 주요 버전의 콘텐츠를 다시 만드는 것을 중지합니다. (PR을 다시 열거나 업그레이드하지 않는 한)
    - "@corderot ignore this minor version"은 이 PR을 닫고 corderot가 이 minor version에 대해 더 많은 PR을 만드는 것을 중지합니다. (PR을 다시 열거나 PR로 업그레이드하지 않는 한)
    - "@corderot ignore this dependency"는 이 PR을 닫고 이 의존항에 대한 corderot의 내용을 다시 만들지 않습니다(PR을 다시 열거나 PR로 업그레이드하지 않는 한)
    - "@cordeot use this label"현재 태그를 재구매 프로토콜 및 언어의 미래 PRs 기본 태그로 설정
    - "@cordenot use this reviewers"현재 검토자를 해당 재구매 계약 및 언어의 미래 PRs에 대한 기본 검토자로 설정
    - "@cordenot use this assignees"는 현재 수인을 해당 재구매 프로토콜과 언어의 미래 PRs 기본값으로 설정
    - "@cordeot use this milestone"은 현재 이정표를 재구매 계약 및 언어의 미래 PRs에 대한 기본 이정표로 설정
    - "@Relateot badge me"는 자술한 파일에 "Relateot enabled"배지를 추가할 수 있도록 코드로 이 홍보에 대해 설명합니다.
    또한 Correlot[대시보드]에서 다음을 설정할 수도 있습니다(https://app.dependabot.com):
    - 업데이트 빈도(하루 중 시간과 일주일 중 날짜 포함)
    - 끌어오기 요청 제한(업데이트가 실행될 때마다/또는 언제든지 열려 있음)
    - 자동 병합 옵션(기본/패치/보조 및 개발/런타임 종속성)
    - 범위 밖의 업데이트(필요한 경우 잠금 파일 업데이트만 수신)
    - 보안 업데이트(필요한 경우 보안 업데이트만 수신)

    토론 #1

    #59로 대체됩니다.

    좋은 웹페이지 즐겨찾기