是否有可能我的Dist文件夹包含在node_modules中发现的漏洞？

Question

我是个新手，很难读到gulpfile.js文件。

这里是我在devDependencies package.json**:**的

  "devDependencies": {
    ...
    "gulp-cssnano": "^2.1.3",
    ...
  },

gulp-cssnano 的依赖项包含两个漏洞(我无法修复)：

                         === npm audit security report ===

                                 Manual Review
             Some vulnerabilities require your attention to resolve

          Visit https://go.npm.me/audit-guide for additional guidance


  Moderate        Denial of Service

  Package         js-yaml

  Patched in      >=3.13.0

  Dependency of   gulp-cssnano [dev]

  Path            gulp-cssnano > cssnano > postcss-svgo > svgo > js-yaml

  More info       https://npmjs.com/advisories/788


  High            Code Injection

  Package         js-yaml

  Patched in      >=3.13.1

  Dependency of   gulp-cssnano [dev]

  Path            gulp-cssnano > cssnano > postcss-svgo > svgo > js-yaml

  More info       https://npmjs.com/advisories/813

found 2 vulnerabilities (1 moderate, 1 high) in 16904 scanned packages
  2 vulnerabilities require manual review. See the full report for details.

这里是我的gulpfile.js 文件：

//
// Gulpfile
//

"use strict";

...

const cssnano = require('gulp-cssnano');

...

//
// CSS minifier - merges and minifies the below given list of Space libraries into one theme.min.css
//

function minCSS() {
  return gulp
    .src([
      './assets/css/theme.css',
    ])
    .pipe(cssnano())
    .pipe(rename({suffix: '.min'}))
    .pipe(gulp.dest('./dist/assets/css/'));
}

我不会在生产环境中使用node_modules文件夹，而是使用gulpfile.js生成的dist文件夹。

dist文件夹是否包含devDependencies中相关漏洞的漏洞，因为我在gulpfile.js中看到了const cssnano = require('gulp-cssnano')和.pipe(cssnano())，它们在gulp dist命令的帮助下生成dist folder？

Answer 1

将在dist文件夹中包含devDependencies中相关漏洞的漏洞

不，不会的。

漏洞存在于gulp-cssnano包所需的文件中，而不是其生成的输出(即dist文件夹的内容)中。这些易受攻击的文件驻留在node_modules文件夹中，在您的示例中，它们不会触及生产环境，因此您应该可以选择。

最后，我注意到gulp-cssnano包已由其所有者在GitHub上存档，并标记为废弃，因此您可能应该寻找另一种选择。