我正在使用Drupal 8.9.15(与composer和Docker一起使用(。问题是vurenabilities依赖性检查工具检测到大约200个问题,其中大多数问题被重新分配给Drupal,大多数问题被分配给Drupal使用的jqueryui,例如:
/web/core/assets/vvendor/jquery.ui/node_modules/grumt-html/vnu.jar/META-INF/maven/commons-fileupload/pom.xml
/web/core/assets/vender/jquery.ui/node_modules/babel-core/node_modules/lodash/package.json
/web/core/node_modules/fftp/package.json
如果Drupal是安全的CMS,为什么会发生这种情况?有可能以某种方式修复它吗?我看到这些包正在自动下载到drupal核心目录中的node_modules。
不幸的是,这也是建议升级到Drupal 9的部分原因(相信我,路径比7->8要好得多(。
Drupal社区已经知道,jQueryUI不再像本次更改记录中提到的那样受支持。建议的操作过程是升级到Drupal 9。
为了回答你的问题;如果Drupal是安全的CMS,为什么会发生这种情况"好吧,它是尽可能安全的,也尽可能安全。当Drupal8发布时,jQueryUI仍然受到支持。现在Drupal9已经发布,jQueryUI并不是核心的一部分。
如果您升级到Drupal9,jQueryUI的安全问题将不再令人担忧。
现在,这只适用于Drupal Core。可能仍然有一些contrib模块使用jQueryUI元素,但这不是核心维护人员的责任。然而,正如变更记录中所列,他们提到了一些仍在使用这些资产的contrib模块。