linhoonyu
linhoonyu
解决openSCA扫描的egg-socket.io相关间接依赖版本漏洞问题  1. socket.io-parser:[egg-socket.io:4.1.6]/[socket.io:2.5.0]/[socket.io-client:2.5.0]/[socket.io-parser:3.3.3]] 2. engine.io:[egg-socket.io:4.1.6]/[socket.io:2.5.0]/[engine.io:3.6.1]] 3. debug: [egg-socket.io:4.1.6]/[socket.io:2.5.0]/[debug:4.1.1]] ## Summary by CodeRabbit - **Chores** - Updated `socket.io` dependency from version `^2.1.1` to `^4.7.5` for improved performance and security.
 首先非常感谢大佬前几天帮忙解决了egg-security中的间接依赖项的版本漏洞问题,目前项目在openSCA扫描结果中还存在5个间接依赖问题,不太好解决,还请大佬帮忙升级一下间接依赖: 1. socket.io-parser:[egg-socket.io:4.1.6]/[socket.io:2.5.0]/[socket.io-client:2.5.0]/[socket.io-parser:3.3.3]] 2. engine.io:[egg-socket.io:4.1.6]/[socket.io:2.5.0]/[engine.io:3.6.1]] 3. semver:[egg:3.22.0]/[egg-cluster:2.2.1]/[semver:5.7.2]] 4. serialize-javascript: [egg-bin:5.17.1]/[mocha:10.2.0]/[serialize-javascript:6.0.0]] 5. debug: [egg-socket.io:4.1.6]/[socket.io:2.5.0]/[debug:4.1.1]] - 其中三项属于egg-socket.io下的socket.io依赖的问题,能否提高socket.io版本,如果担心已有项目会受影响,是否可以提供一个5版本以上的egg-socket.io并在其中使用高版本的socket.io,可供使用