]> git.koha-community.org Git - koha.git/commit
Bug 23025: security vulnerability detected in fstream < 1.0.12 defined in yarn.lock
authorOwen Leonard <oleonard@myacpl.org>
Fri, 31 May 2019 16:34:34 +0000 (16:34 +0000)
committerMartin Renvoize <martin.renvoize@ptfs-europe.com>
Wed, 27 Nov 2019 11:30:17 +0000 (11:30 +0000)
commit78bf5b3ec68d3732a63a9619d57a0fb5b7d60fb0
treead7f4e61c6f93aae9b5fc5103f3eda5d28252407
parenta5339bb41f3dc8607c82aedec698e12c79003650
Bug 23025: security vulnerability detected in fstream < 1.0.12 defined in yarn.lock

This patch updates the version requirements for modules used by yarn.
Running "yarn upgrade" will upgrade the project's direct dependencies as
listed in package.json. However, the output of "yarn audit" will
identify more vulnerabilities with libraries further down the dependency
tree.

Adding a "resolutions" list in package.json seems to be the way to
include these upgrades in an installation.

After making these changes I ran "yarn install" and "yarn audit" again.
The audit reported no vulnerabilities.

Upgrading yarn.lock should allow for the installation of newer versions
of npm modules in new installations. I believe it is necessary to run
"yarn upgrade" on existing installations in order to bring dependencies
up to versions matching those on existing installations.

To test, run the yarn commands we use to compile SCSS in the staff
client and the opac:

yarn build
yarn build --view opac

They should complete without error.

Signed-off-by: Martin Renvoize <martin.renvoize@ptfs-europe.com>
package.json
yarn.lock