next icon indicating copy to clipboard operation
next copied to clipboard

Published 20 hours ago verified publisher icon alibaba-fusion

babel-runtime-jsx-style-transform已停止维护且存在安全风险

Open stevapple opened this issue 2 years ago • 6 comments

Steps to reproduce

https://github.com/Yurisa/babel-runtime-jsx-style-transform 该仓库最新提交为2年前,npm audit提示多项安全风险且无法自动修复

stevapple avatar Feb 28 '23 09:02 stevapple

没看到这个包,npm list 看下谁引入的

lakerswgq avatar Mar 15 '23 09:03 lakerswgq 

  └─┬ @alifd/[email protected]
    └─┬ @alifd/[email protected]
      └── [email protected]

stevapple avatar Mar 15 '23 11:03 stevapple

@lakerswgq

stevapple avatar Apr 12 '23 21:04 stevapple

Ping

stevapple avatar May 09 '23 07:05 stevapple

next组件通过 peerDependencies 声明依赖 @alifd/meet-react 组件库,是在 mobile 场景使用 next 的必要条件,meet-react 组件库运行时依赖了babel-runtime-jsx-style-transform,目前暂时没有规划将之替换或移除。 不过考虑到高版本 npm 对于 peerDependencies 的默认安装处理报出的问题,我们将在下个版本中移除 peerDependencies 里的 @alifd/meet-react。

YSMJ1994 avatar Jan 30 '24 07:01 YSMJ1994

经过排查,是 babel-runtime-jsx-style-transform 错误的依赖了 mocha@8 导致的风险信息,我们准备 fock 这个仓库,调整一下依赖,并调整meet 组件库的相关实现,考虑到变更内容较多,延期至下次迭代再发布

YSMJ1994 avatar Feb 22 '24 06:02 YSMJ1994

Fixed at @alifd/[email protected]

YSMJ1994 avatar Mar 06 '24 03:03 YSMJ1994