<![CDATA[Wie mit NPM Audit ergebnis umgehen?]]>Hi,

@apollon77 , @AlCalzone, @thomas-braun und alle anderen:

Wie geht ihr mit "npm audit" ergebnissen um?

Mal auf einem Slave gemacht und das sieht dann so aus: (gekürzt)

]]>https://forum.iobroker.net/topic/52377/wie-mit-npm-audit-ergebnis-umgehenRSS for NodeSat, 23 May 2026 15:37:20 GMTThu, 10 Feb 2022 14:03:35 GMT60<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 18:23:01 GMT]]>@oliverio Ja, das war bei mir auch zu lang.

]]>https://forum.iobroker.net/post/759992https://forum.iobroker.net/post/759992Thu, 10 Feb 2022 18:23:01 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 17:48:37 GMT]]>Ich konnte leider nicht das ganze Protokoll einfügen, was gar nicht so groß ist.
Es kam eine Fehlermeldung "Payload too large"

]]>https://forum.iobroker.net/post/759970https://forum.iobroker.net/post/759970Thu, 10 Feb 2022 17:48:37 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 17:47:07 GMT]]>@wendy2702 wenn das problem direkt an einer abhängigkeit des adapters hängt, dann ja.
wenn es an einer Abhängigkeit an einer Abhängigkeit hängt dann nein. Erkennbar im audit-protokoll im Feld Dependency of

Github zeigt dem Entwickler diese Dinge auch an, wenn man dependabot nutzt.

so zb bei mytime
9931f4da-820b-4bc2-b5b5-ccb39a0aee38-image.png

Das sind bspw alles Probleme, die nur in den devDependencies hängen (parcel, gulp).
Das betrifft die normale Installation eines Benutzers nicht, da diese Abhängigeiten gar nicht installiert werden.
Irgendwann werde ich das machen. Muss dazu aber parcel upgraden und das bedeutet uU Änderungen an config, code, tests, etc.

]]>https://forum.iobroker.net/post/759966https://forum.iobroker.net/post/759966Thu, 10 Feb 2022 17:47:07 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 17:35:21 GMT]]>MAcht es denn Sinn für diese im Audit benannten Adapter ein Issue zu öffnen um den Dev darauf hinzuweisen das es da was gibt oder ist das eher verschenkte Zeit ?

]]>https://forum.iobroker.net/post/759960https://forum.iobroker.net/post/759960Thu, 10 Feb 2022 17:35:21 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 17:33:13 GMT]]>@wendy2702
dieser befehl ist nur für package owner gedacht um Art der sicherheitsprobleme und ggfs deren Behebungsmöglichkeiten zu identifizieren.
Da hier aber auch oft Sicherheitslücken in, nennen wir es mal tiefer gelegenen paketen stehen, ist das nicht so einfach.
oft umfasst die Behebung auch breaking changes. dh der nutzende muss auch etwas in seinem paket machen.
Wenn das dann in einem paket ist, das du nur über eine andere Abhängigkeit nutzt, dann kannst du da nur wenig tun, ausser dich nach einem anderen Paket/Fork umschauen welches aktualisiert wurde oder die gleiche Funktionalität hat und besser gepflegt ist.

Das ist ein Vorteil aber auch ein nachteil von NPM bzw den javascript Paketmanagern generell.
Du kannst zwar schnell Pakete in dein Projekt einbinden, musst aber genau schauen, welche dependencies jedes einzelne Paket nutzt und wie sicher und gepflegt die sind und das kann sich jederzeit ändern.

]]>https://forum.iobroker.net/post/759956https://forum.iobroker.net/post/759956Thu, 10 Feb 2022 17:33:13 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 17:07:56 GMT]]>@thomas-braun aahhh ... dann hatte ich es falsch verstanden :-)

]]>https://forum.iobroker.net/post/759939https://forum.iobroker.net/post/759939Thu, 10 Feb 2022 17:07:56 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 17:07:54 GMT]]>@apollon77

Ja, no risk, no fun!
Ich schau zwar schon mal öfters per audit rein, aber fixen tu ich das eigentlich nie. Lass ich wie oben gesagt auch die Finger von.

]]>https://forum.iobroker.net/post/759938https://forum.iobroker.net/post/759938Thu, 10 Feb 2022 17:07:54 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 16:57:48 GMT]]>@thomas-braun Na dann happy risk :-))

]]>https://forum.iobroker.net/post/759931https://forum.iobroker.net/post/759931Thu, 10 Feb 2022 16:57:48 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 16:45:14 GMT]]>@wendy2702 sagte in Wie mit NPM Audit ergebnis umgehen?:

die teilweise vorgeschlagenen Befehle doch sicher ausführen und dabei Gefahr zu laufen das IOB danach nicht mehr läuft

fixed that for you :)

]]>https://forum.iobroker.net/post/759924https://forum.iobroker.net/post/759924Thu, 10 Feb 2022 16:45:14 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 15:37:41 GMT]]>@apollon77

Ich bin so frech und gebe das selber ein. :-P

]]>https://forum.iobroker.net/post/759897https://forum.iobroker.net/post/759897Thu, 10 Feb 2022 15:37:41 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 15:34:01 GMT]]>Also mit einem aktuellen "iob fix ausgeführtem System" sollte nie ein npm audit als Ausgabe kommen :) Wir haben an sich im Installer/Fixer drin das npm keine "audit" Meldungen mehr bringen soll :-)

]]>https://forum.iobroker.net/post/759894https://forum.iobroker.net/post/759894Thu, 10 Feb 2022 15:34:01 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 14:52:29 GMT]]>@wendy2702 Ja, das mit den Issues ist eine gute Idee.

]]>https://forum.iobroker.net/post/759867https://forum.iobroker.net/post/759867Thu, 10 Feb 2022 14:52:29 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 14:52:08 GMT]]>Dann warte ich mal bis/ob sich da noch etwas tut sonst mache ich bei Gelegenheit mal issues bei den entsprechenden Adaptern auf.

]]>https://forum.iobroker.net/post/759866https://forum.iobroker.net/post/759866Thu, 10 Feb 2022 14:52:08 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 14:51:02 GMT]]>@wendy2702

Mit regulären Adapter-Updates werden das auch wieder weniger.

]]>https://forum.iobroker.net/post/759864https://forum.iobroker.net/post/759864Thu, 10 Feb 2022 14:51:02 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 14:50:11 GMT]]>OK.

Danke für euren Input.

Die werden nur gefühlt immer mehr deshalb wollte ich mal nachfragen.

Habe bisher immer mit dem audit fix leben können aber jetzt bekommt er nur noch 15 davon gelöst.

]]>https://forum.iobroker.net/post/759862https://forum.iobroker.net/post/759862Thu, 10 Feb 2022 14:50:11 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 14:31:12 GMT]]>@wendy2702 Ich habe damit sehr gemischte Ergebnisse gehabt.
audit fix geht oft noch relativ schmerzlos über die Bühne, aber auch nicht immer.
Vom forcen ganz die Finger lassen, das sorgt eigentlich immer für ganz böses Kopfweh.

Ich würde es einfach ignorieren und darauf hoffen, dass die Devs die Dependencies nach Möglichkeit in ihren Modulen entsprechend mitziehen.

Welcome to dependency hell!

]]>https://forum.iobroker.net/post/759853https://forum.iobroker.net/post/759853Thu, 10 Feb 2022 14:31:12 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 14:14:03 GMT]]>@alcalzone Also könnte man theoretisch die teilweise vorgeschlagenen Befehle doch sicher ausführen ohn Gefahr zu laufen das IOB danach nicht mehr läuft, oder?

Sind ja meistens Sicherheits Updates.

]]>https://forum.iobroker.net/post/759841https://forum.iobroker.net/post/759841Thu, 10 Feb 2022 14:14:03 GMT<![CDATA[Reply to Wie mit NPM Audit ergebnis umgehen? on Thu, 10 Feb 2022 14:12:36 GMT]]>@wendy2702 Ignorieren.

Eigentlich sollte der Installer/Fixer die Meldungen auch unterdrücken.

Das sind Dinge, die devs bei der Entwicklung teilweise berücksichtigen können, durch Aktualisieren von Abhängigkeiten. Das passiert auch regelmäßig automatisiert. Sobald Abhängigkeiten von Abhängigkeiten betroffen sind, wirds aber schon schwer, überhaupt was zu machen.

]]>https://forum.iobroker.net/post/759839https://forum.iobroker.net/post/759839Thu, 10 Feb 2022 14:12:36 GMT