Hack x Crack - Comunidad de Seguridad informática

Programación => Programación Web => Mensaje iniciado por: o.punto en Octubre 10, 2021, 02:15:51 pm

Título: Proyecto node no actualiza dependencias
Publicado por: o.punto en Octubre 10, 2021, 02:15:51 pm
Hola
Quisiera preguntar sobre un asunto que estoy teniendo con una dependencia de un proyecto de nodejs.

Resulta que utilizo un paquete como dependencia de mi proyecto y hace algunos meses, desde npm audit me salía una
vulnerabilidad. Para arreglarla había que actualizar un paquete que utiliza una dependencia mia, a una versión superior. Sólo tiene que
actualizar él el package. Si se arregla con npm audit fix --force, no funciona nada.

Al cabo de unas semanas se lo puse en un comentario en gitlab y no hacía nada.
Así que en julio me hice un fork le puse la nueva versión del paquete en el package y se lo propuse para merge.
Aceptó el merge y lo unió.

Pero no actualiza el npm con el publish para que me salga en el audit como que ya se ha solucionado.

Entonces quisiera preguntar cómo arreglo esto porque tengo entendido que el dueño de la dependencia tiene que hacer
npm publish o lo cambio yo en mi proyecto.. No sé muy bien como va este tema.

Muchas gracias si alguien me responde. Saludos.
Título: Re:Proyecto node no actualiza dependencias
Publicado por: o.punto en Octubre 12, 2021, 01:16:28 pm
RESUMEN:
¿Qué puedo hacer si una dependencia de mi proyecto no soluciona una vulnerabilidad?
Bueno ya está solucionada en gitlab, sólo que el tio no la sube a npm para arreglarla con audit.
Muchas gracias, de verdad.
Título: Re:Proyecto node no actualiza dependencias
Publicado por: o.punto en Octubre 18, 2021, 04:05:50 pm
hola