Wie mit NPM Audit ergebnis umgehen?
-
Hi,
@apollon77 , @AlCalzone, @thomas-braun und alle anderen:
Wie geht ihr mit "npm audit" ergebnissen um?
Mal auf einem Slave gemacht und das sieht dann so aus: (gekürzt)
Bitte keine Fragen per PN, die gehören ins Forum!
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
-
Hi,
@apollon77 , @AlCalzone, @thomas-braun und alle anderen:
Wie geht ihr mit "npm audit" ergebnissen um?
Mal auf einem Slave gemacht und das sieht dann so aus: (gekürzt)
@wendy2702 Ignorieren.
Eigentlich sollte der Installer/Fixer die Meldungen auch unterdrücken.
Das sind Dinge, die devs bei der Entwicklung teilweise berücksichtigen können, durch Aktualisieren von Abhängigkeiten. Das passiert auch regelmäßig automatisiert. Sobald Abhängigkeiten von Abhängigkeiten betroffen sind, wirds aber schon schwer, überhaupt was zu machen.
Warum `sudo` böse ist: https://forum.iobroker.net/post/17109
-
@wendy2702 Ignorieren.
Eigentlich sollte der Installer/Fixer die Meldungen auch unterdrücken.
Das sind Dinge, die devs bei der Entwicklung teilweise berücksichtigen können, durch Aktualisieren von Abhängigkeiten. Das passiert auch regelmäßig automatisiert. Sobald Abhängigkeiten von Abhängigkeiten betroffen sind, wirds aber schon schwer, überhaupt was zu machen.
@alcalzone Also könnte man theoretisch die teilweise vorgeschlagenen Befehle doch sicher ausführen ohn Gefahr zu laufen das IOB danach nicht mehr läuft, oder?
Sind ja meistens Sicherheits Updates.
Bitte keine Fragen per PN, die gehören ins Forum!
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
-
@alcalzone Also könnte man theoretisch die teilweise vorgeschlagenen Befehle doch sicher ausführen ohn Gefahr zu laufen das IOB danach nicht mehr läuft, oder?
Sind ja meistens Sicherheits Updates.
@wendy2702 Ich habe damit sehr gemischte Ergebnisse gehabt.
audit fix geht oft noch relativ schmerzlos über die Bühne, aber auch nicht immer.
Vom forcen ganz die Finger lassen, das sorgt eigentlich immer für ganz böses Kopfweh.Ich würde es einfach ignorieren und darauf hoffen, dass die Devs die Dependencies nach Möglichkeit in ihren Modulen entsprechend mitziehen.
Welcome to dependency hell!
-
OK.
Danke für euren Input.
Die werden nur gefühlt immer mehr deshalb wollte ich mal nachfragen.
Habe bisher immer mit dem audit fix leben können aber jetzt bekommt er nur noch 15 davon gelöst.
Bitte keine Fragen per PN, die gehören ins Forum!
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
-
OK.
Danke für euren Input.
Die werden nur gefühlt immer mehr deshalb wollte ich mal nachfragen.
Habe bisher immer mit dem audit fix leben können aber jetzt bekommt er nur noch 15 davon gelöst.
Mit regulären Adapter-Updates werden das auch wieder weniger.
-
Dann warte ich mal bis/ob sich da noch etwas tut sonst mache ich bei Gelegenheit mal issues bei den entsprechenden Adaptern auf.
Bitte keine Fragen per PN, die gehören ins Forum!
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
-
Dann warte ich mal bis/ob sich da noch etwas tut sonst mache ich bei Gelegenheit mal issues bei den entsprechenden Adaptern auf.
@wendy2702 Ja, das mit den Issues ist eine gute Idee.
-
Also mit einem aktuellen "iob fix ausgeführtem System" sollte nie ein npm audit als Ausgabe kommen :) Wir haben an sich im Installer/Fixer drin das npm keine "audit" Meldungen mehr bringen soll :-)
Beitrag hat geholfen? Votet rechts unten im Beitrag :-) https://paypal.me/Apollon77 / https://github.com/sponsors/Apollon77
- Debug-Log für Instanz einschalten? Admin -> Instanzen -> Expertenmodus -> Instanz aufklappen - Loglevel ändern
- Logfiles auf Platte /opt/iobroker/log/… nutzen, Admin schneidet Zeilen ab
-
Also mit einem aktuellen "iob fix ausgeführtem System" sollte nie ein npm audit als Ausgabe kommen :) Wir haben an sich im Installer/Fixer drin das npm keine "audit" Meldungen mehr bringen soll :-)
Ich bin so frech und gebe das selber ein. :-P
-
@alcalzone Also könnte man theoretisch die teilweise vorgeschlagenen Befehle doch sicher ausführen ohn Gefahr zu laufen das IOB danach nicht mehr läuft, oder?
Sind ja meistens Sicherheits Updates.
@wendy2702 sagte in Wie mit NPM Audit ergebnis umgehen?:
die teilweise vorgeschlagenen Befehle
doch sicherausführen und dabei Gefahr zu laufen das IOB danach nicht mehr läuftfixed that for you :)
-
Ich bin so frech und gebe das selber ein. :-P
@thomas-braun Na dann happy risk :-))
Beitrag hat geholfen? Votet rechts unten im Beitrag :-) https://paypal.me/Apollon77 / https://github.com/sponsors/Apollon77
- Debug-Log für Instanz einschalten? Admin -> Instanzen -> Expertenmodus -> Instanz aufklappen - Loglevel ändern
- Logfiles auf Platte /opt/iobroker/log/… nutzen, Admin schneidet Zeilen ab
-
@thomas-braun Na dann happy risk :-))
Ja, no risk, no fun!
Ich schau zwar schon mal öfters per audit rein, aber fixen tu ich das eigentlich nie. Lass ich wie oben gesagt auch die Finger von. -
Ja, no risk, no fun!
Ich schau zwar schon mal öfters per audit rein, aber fixen tu ich das eigentlich nie. Lass ich wie oben gesagt auch die Finger von.@thomas-braun aahhh ... dann hatte ich es falsch verstanden :-)
-
Hi,
@apollon77 , @AlCalzone, @thomas-braun und alle anderen:
Wie geht ihr mit "npm audit" ergebnissen um?
Mal auf einem Slave gemacht und das sieht dann so aus: (gekürzt)
@wendy2702
dieser befehl ist nur für package owner gedacht um Art der sicherheitsprobleme und ggfs deren Behebungsmöglichkeiten zu identifizieren.
Da hier aber auch oft Sicherheitslücken in, nennen wir es mal tiefer gelegenen paketen stehen, ist das nicht so einfach.
oft umfasst die Behebung auch breaking changes. dh der nutzende muss auch etwas in seinem paket machen.
Wenn das dann in einem paket ist, das du nur über eine andere Abhängigkeit nutzt, dann kannst du da nur wenig tun, ausser dich nach einem anderen Paket/Fork umschauen welches aktualisiert wurde oder die gleiche Funktionalität hat und besser gepflegt ist.Das ist ein Vorteil aber auch ein nachteil von NPM bzw den javascript Paketmanagern generell.
Du kannst zwar schnell Pakete in dein Projekt einbinden, musst aber genau schauen, welche dependencies jedes einzelne Paket nutzt und wie sicher und gepflegt die sind und das kann sich jederzeit ändern. -
MAcht es denn Sinn für diese im Audit benannten Adapter ein Issue zu öffnen um den Dev darauf hinzuweisen das es da was gibt oder ist das eher verschenkte Zeit ?
Bitte keine Fragen per PN, die gehören ins Forum!
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
-
MAcht es denn Sinn für diese im Audit benannten Adapter ein Issue zu öffnen um den Dev darauf hinzuweisen das es da was gibt oder ist das eher verschenkte Zeit ?
@wendy2702 wenn das problem direkt an einer abhängigkeit des adapters hängt, dann ja.
wenn es an einer Abhängigkeit an einer Abhängigkeit hängt dann nein. Erkennbar im audit-protokoll im Feld Dependency ofGithub zeigt dem Entwickler diese Dinge auch an, wenn man dependabot nutzt.
so zb bei mytime
Das sind bspw alles Probleme, die nur in den devDependencies hängen (parcel, gulp).
Das betrifft die normale Installation eines Benutzers nicht, da diese Abhängigeiten gar nicht installiert werden.
Irgendwann werde ich das machen. Muss dazu aber parcel upgraden und das bedeutet uU Änderungen an config, code, tests, etc. -
@wendy2702 wenn das problem direkt an einer abhängigkeit des adapters hängt, dann ja.
wenn es an einer Abhängigkeit an einer Abhängigkeit hängt dann nein. Erkennbar im audit-protokoll im Feld Dependency ofGithub zeigt dem Entwickler diese Dinge auch an, wenn man dependabot nutzt.
so zb bei mytime
Das sind bspw alles Probleme, die nur in den devDependencies hängen (parcel, gulp).
Das betrifft die normale Installation eines Benutzers nicht, da diese Abhängigeiten gar nicht installiert werden.
Irgendwann werde ich das machen. Muss dazu aber parcel upgraden und das bedeutet uU Änderungen an config, code, tests, etc.Ich konnte leider nicht das ganze Protokoll einfügen, was gar nicht so groß ist.
Es kam eine Fehlermeldung "Payload too large" -
Ich konnte leider nicht das ganze Protokoll einfügen, was gar nicht so groß ist.
Es kam eine Fehlermeldung "Payload too large"
Hey! Du scheinst an dieser Unterhaltung interessiert zu sein, hast aber noch kein Konto.
Hast du es satt, bei jedem Besuch durch die gleichen Beiträge zu scrollen? Wenn du dich für ein Konto anmeldest, kommst du immer genau dorthin zurück, wo du zuvor warst, und kannst dich über neue Antworten benachrichtigen lassen (entweder per E-Mail oder Push-Benachrichtigung). Du kannst auch Lesezeichen speichern und Beiträge positiv bewerten, um anderen Community-Mitgliedern deine Wertschätzung zu zeigen.
Mit deinem Input könnte dieser Beitrag noch besser werden 💗
Registrieren Anmelden483
Online32.9k
Benutzer83.0k
Themen1.3m
Beiträge