我正在尝试使用GitHub动作部署我的Firebase应用程序。我正在运行以下命令:
- npm安装 npm audit fixnpm install firebase-tools@10.9.2
它工作完美,直到10天前,现在突然我得到以下问题:
Crash in HeaderParser in dicer - https://github.com/advisories/GHSA-wm7h-9275-46v2
fix available via `npm audit fix --force`
Will install firebase-admin@7.0.0, which is a breaking change
node_modules/dicer
firebase-admin >=7.1.0
Depends on vulnerable versions of dicer
node_modules/firebase-admin
firebase-functions >=3.0.0
Depends on vulnerable versions of firebase-admin
node_modules/firebase-functions
我看到Dicer有问题,但因为它是firebase-admin的依赖项,所以没有办法跳过这个。我想进行紧急生产部署—如何删除此阻塞器?
这个问题需要由维护sdk的团队来解决。也就是说,尽管被列为高严重性,但SDK中dicer的用例呈现的风险概况较低,除非您在自己的代码中使用dicer:
这是GitHub上的相关问题其中一个维护者是这样解释这个问题的:
Admin Node.js SDK使用dicer解析来自Firebase和GCP后端服务器。iuc带来的威胁骰子的脆弱性在这里很低,因为我们可以相信来自BE服务器的响应。但是,如果你在用骰子包来解析您自己的代码中的响应,那么您可能处于一个更高的风险。话虽如此,我们正在研究所提到的修复在#1512中以及在Admin中使用dicer的固定版本的可能性SDK。我会利用这个问题来更新进度。