Migration path for outdated and insecure dependencies #398
Comments
|
We zitten nog steeds in een aanloopfase; de huidige versie van openstad-headless is op zn best beta. Als onderdeel van dat proces moeten we deze issues natuurlijk fiksen. Dat zal in de komende maand moeten gebeuren. |
Hi Niels, bedankt voor je reactie. Is openstad-app dan het project dat je nu moet gebruiken voor een productie-omgeving? Daar kom ik in totaal uit op 182 kwetsbaarheden (!!!, waarvan er een aantal waarschijnlijk wel meer dan 1 keer in zitten). Dit is voor ons op dit moment een dealbreaker om te gaan werken met OpenStad. In dat licht vroegen we ons af of we nog kunnen helpen met een plan van aanpak hierin, zoals het instellen van Dependabot of het bijwerken van de depencies met kwetsbaarheden? |
|
Hi Markus, Laten we even een overlegje plannen om dit samen op te pakken. Inderdaad goed om dit door te nemen. Kun jij me een mail sturen via [email protected]? Dan zoeken we even een momentje. Gr. |
Je kunt inderdaad openstad-app gebruiken, echter verwijzen de submodules daar wel naar redelijk oude commits. Mijn advies is om sowieso de master/main branches te gebruiken. Ook hierin zitten mogelijk verouderde/kwetsbare packages. |
|
Critical issues zijn gefixed in #409. De overgebleven High issues zitten in MJML; daar moet een besluit over genomen. |
npm auditwill currently find 44 vulnerabilities in the dependencies. Next to this there are several dependencies that are either out of date or deprecated (mysql2 1.7.0, uuid 3.0.1 and dotenv 6.0.0 to name a few).Is this currently being addressed? If not, we would be glad to look into some of the more critical vulnerabilities.
The text was updated successfully, but these errors were encountered: