node-forge sikkerhetsoppdatering

[adriandersen]

Hei! Bruker muligheten til å snike meg forsiktig inn i Jøkul-hjørnet nå som det har kommet discussions på GitHub.

Har det blitt gjort noe tanker eller vurderinger rundt node-forge? Tenker det kan være lurt å se på å oppdatere den da man ikke nødvendigvis vet hva som kjører på baksiden der Jøkul er i bruk, og worst-case scenarioet for sårbarhetene i node-forge potensielt kan være ganske skumle.

Såvidt jeg kan se er det bare Parcel (parcel-bundler@1.12.4) som gjør at det potensielt er problematisk å oppdatere, uten at jeg vet noe mer om det.

Tenkte bare å høre om noen allerede har sett på det, og eventuelt hva konklusjonen eller tankene er, siden jeg stadig får notifications fra Dependabot 😎

... God jul! 🎅🎄

https://snyk.io/vuln/SNYK-JS-NODEFORGE-598677
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7720

[lfbergee]

Velkommen, ta gjerne en titt på #1711, kanskje du som burde ha eierskapet til den.

Anyways, node-forge ja, hadde nok vært fint å fått oppdatert den. Dependabot har aldri lagt en update på den, selvom jeg har bedt om det. Men Parcel brukes bare i lokal utvikling av enkelt komponenter, så vi shipper ingen kode der ifra, så for oss er nok impact av denne et sted mellom lav og ingen.

Har såvidt sett på å kunne bytte ut parcel, virker som ting har gått veldig sakte med version 2, og v1 er helt fryst. Det er også kommet opp en del andre prosjekt som snowpack som har mer vind i seilene virker det som. Dog er egentlig Parcel helt perfekt for vårt usecase. Burde ikke være veldig komplisert eller problematisk for oss å gå til Parcel 2 betaen, igjen siden vi er langt unna produksjon med dette.

[lfbergee]

Gravde litt mer. Ser ut til å være i en intern funksjon som ikke er i bruk lengre i node-forge. Det kommer ikke til å bli fiksa i Parcel 1, men er heller ikke i bruk i Parcel 1. Den ser også ut til å være merket med høyere severity enn det den faktisk skulle hatt. Så jeg stenger den, da vi ikke gjør noe med den før vi oppdaterer til Parcel 2.

parcel-bundler/parcel#5250
https://github.com/digitalbazaar/forge/blob/master/CHANGELOG.md#notes