dependencies security

[HowardTangHw]

首先非常感謝easy-team 帶來了非常優秀的作品~ 因爲公司要對舊的react project進行升級，所以接觸到了團隊相關的作品 而且也非常的容易上手，我基本上可以將就項目遷移到egg上面， 可是現在問題就是，相關的依賴版本太舊了，在公司的Jfrog Xray上會被block,而且是一些比較深層的依賴 例如connect和node-http-server:8.1.1

我自己在項目中使用npm audit fix 也并不能解決 因爲我們devops是需要Jenkins上打包的，而Jenkins得機子只能訪問内網，依賴需要通過内網的npm來安裝 而内網的npm就需要通過jfrog Xray的掃描，導致在部署上出了問題

希望可以對一些依賴進行整體的升級,或者加入一些bot 例如renovate

[hubcarl]

@HowardTangHw 具体哪些依赖旧的, 同时存在什么安全问题？我看了一下 node-http-server 是用的最新的， 而且这个只在开发期间用，安装到的是 devDependencies