CVE-2022-29244 https://github.com/advisories/GHSA-hj9c-8jmm-8c52
Description
Impact
npm pack ignores root-level .gitignore & .npmignore file exclusion directives when run in a workspace or with a workspace flag (ie. --workspaces, --workspace=). Anyone who has run npm pack or npm publish with workspaces, as of v7.9.0 & v7.13.0 respectively, may be affected and have published files into the npm registry they did not intend to include.
简单来看就是需要升级npm版本了,受影响的npm版本是
由于我们app里面用的是npm5.5.1,按理说不会受此影响。但是用trivy工具扫描的时候,还是发现了这个CVE。
接下来就是排查哪里有啥隐含的关联。
首先发现我们的application里面用的是node8.9.1,npm是5.5.0. 第一步升级npm为8.11.0.升级完后发现node也要升级,否则会报版本不匹配。
但是升级了node之后,又有了新的问题,由于项目里用了webpack,所以连带的webpack版本也要升级。原先是3.8,现在至少要到4.x。webpack4
升级webpack的时候,发现4.x版本是一个大版本,一些小的版本里面的插件写法也要更新,测试module也要修改...事情开始扩散开来。
第一个解决的是依赖问题,老的weback可以直接用npm install就行,现在4.x之后,使用的时候还需要安装webapck-cli,
"uglifyjs-webpack-plugin": "1.2.5",
"webpack": "^4.16.5",
"webpack-cli": "^3.3.11",
"webpack-dev-server": "4.8.1"
这是几个版本是校验过可搭配使用的版本,如果版本不一致,会导致这样一个错误:
this.logger = compiler.getInfrastructureLogger(PLUGIN_NAME);
还有一些warning 信息,比如:error: ‘XXX‘ is defined but never used (no-unused-vars)可以配置.eslintrc
"rules": {
"comma-dangle": "off",
"no-undef": "off",
"global-strict": 0,
"no-extra-semi": "off",
"no-underscore-dangle": "off",
"no-console": "off",
"no-unused-vars": "off",
全部关闭。
webpack4.0之后默认支持了json的loader解析,所以不需要额外的配置,如果在项目中遇到了某个json文件无法解析,“Module parse failed: Unexpected token in JSON at position 1 while parsing near '{ "status"...可以考虑在config中去除json loader的配置。
参考:webpack5和webpack4详解
注释掉
webpack.optimize.UglifyJsPlugin 。改为更简单的:
optimization:{
minimizer:[
new UglifyJsPlugin({
exclude: /\.min\.js$/,
uglifyOptions: {
output: {
comments: false
},
minify: {},
compress: {
booleans: true,
warnings: false
}
}
})
]
}
接下来就是build image了,发现项目中用到了microdnf这个安装方式,好处就是下载的依赖更小,可以构建更小的容器镜像。
但是从redhat官网来看,这个cve不打算fix了。因此暂时不能用它来安装nodejs。所以用trivy工具扫描,还是会出现CVE。因此只能自己构建image了
。