Boa tarde, ao fazer o push do meu projeto para o github, obtenho alertas de segurança indicando vulnerabilidades de segurança, gostaria de saber o que são esses alertas e porque eles aparecem e o que faço pra não receber esse alerta.
Segue print da tela:
As vulnerabilidades são estas:
Desde já agradeço.
Fala ai Maison, tudo bem? Esses alertas são referente à algum potencial problema ou vulnerabilidade da versão atual que você está usando.
Geralmente na própria mensagem de alerta do Github tem um link para um relatório detalhada das bibliotecas e possíveis soluções.
Tem uma extensão bem legal para o Github que verifica vulnerabilidades sobre as dependências do seu projeto e as corrige automaticamente abrindo um PR.
https://snyk.io/
Existe também uma extensão para atualizar as lib's automaticamente:
https://dependabot.com/
Espero ter ajudado.
Fala Matheus, essas versões são passadas no curso de Vue, não instalei nada fora do curso, acresito que com o tempo e que se tornaram defasadas e portanto o risco certo? o que eu faria pra manter as versões e não ter mais esses alertas para esse repositório ?
Fala Maison, vamos lá:
acresito que com o tempo e que se tornaram defasadas e portanto o risco certo?
Exatamente, pode ser que na época que o curso foi gravado elas eram as mais novas e ainda não tinha sido encontrado algum problema nas mesmas.
o que eu faria pra manter as versões e não ter mais esses alertas para esse repositório ?
Basicamente você vai ter que ignorar o alerta, desconheço uma maneira de removê-lo, uma vez que esse controle se encontra a cargo do Github.
Acho que será necessário resolver os problemas de alerta mesmo.
Parece que tem como criar um PR onde o próprio Github resolve os problemas para nós:
https://help.github.com/pt/github/managing-security-vulnerabilities/viewing-and-updating-vulnerable-dependencies-in-your-repository
Nunca testei se dá certo ou o quanto isso afetaria a saúde do projeto.
Espero ter ajudado.