Encore des vulnérabilités lors de l'installation du projet avec NPM

[tjarross]

Suite à #641, il subsiste encore des vulnéraabilités lors de l'installation des paquets.
L'installation est faite sur la branche master au commit c698575:

-> cartes git:(master) $> npm install --legacy-peer-deps
npm WARN deprecated [email protected]: Deprecated: use `remark-gfm`
npm WARN deprecated [email protected]: This module is not supported, and leaks memory. Do not use it. Check out lru-cache if you want a good and tested way to coalesce async requests by a key value, which is much more comprehensive and powerful.
npm WARN deprecated @babel/[email protected]: This proposal has been merged to the ECMAScript standard and thus this plugin is no longer maintained. Please use @babel/plugin-transform-nullish-coalescing-operator instead.
npm WARN deprecated @babel/[email protected]: This proposal has been merged to the ECMAScript standard and thus this plugin is no longer maintained. Please use @babel/plugin-transform-class-properties instead.
npm WARN deprecated @babel/[email protected]: This proposal has been merged to the ECMAScript standard and thus this plugin is no longer maintained. Please use @babel/plugin-transform-optional-chaining instead.
npm WARN deprecated [email protected]: Glob versions prior to v9 are no longer supported
npm WARN deprecated @babel/[email protected]: This proposal has been merged to the ECMAScript standard and thus this plugin is no longer maintained. Please use @babel/plugin-transform-object-rest-spread instead.
npm WARN deprecated [email protected]: babel-eslint is now @babel/eslint-parser. This package will no longer receive updates.
npm WARN deprecated @xmldom/[email protected]: this version has critical issues, please update to the latest version
npm WARN deprecated [email protected]: Package no longer supported. Contact Support at https://www.npmjs.com/support for more info.
npm WARN deprecated [email protected]: core-js@<3.23.3 is no longer maintained and not recommended for usage due to the number of issues. Because of the V8 engine whims, feature detection in old core-js versions could cause a slowdown up to 100x even if nothing is polyfilled. Some versions have web compatibility issues. Please, upgrade your dependencies to the actual version of core-js.

added 1425 packages, and audited 1426 packages in 2m

499 packages are looking for funding
  run `npm fund` for details

7 vulnerabilities (3 moderate, 2 high, 2 critical)

To address all issues possible (including breaking changes), run:
  npm audit fix --force

Some issues need review, and may require choosing
a different dependency.

Run `npm audit` for details.

[laem]

Depuis on est passés à bun, j'ai MAJ le README en conséquence.

[laem]

Bun ne me donne pas de message d'alerte, mais peut-être qu'il est plus tolérant ?

[tjarross]

Effectivement, je n'avais pas remarqué la mise à jour de README merci !
Pour le coup bun n'affiche pas de vulnérabilités.

Et on dirait bien qu'il est plus tolérant comme tu dis: Bun #5359
Il n'y a actuellement pas de fonction d'audit pour les packages.
Je pense qu'il ne fait que les installer sans se soucier de s'ils sont dépréciéés ou plus maintenus, ce qui est un problème pour la stabilité et la sécurité du projet.

[laem]

Ah intéressant ! Bon je t'avoue qu'en termes de sécurisé, mes craintes sont assez légères, étant donné que cartes ne propose pas de compte utilisateur.

C'est vrai que les données de session, extrêmement géolocalisées, pourraient poser problème si envoyées à un acteur malveillant. Il faudrait créer des scénarios concrets d'attaque pour y voir plus clair.

Déjà actuellement, une partie des données fuite vers des hébergeurs tiers, notamment des CDN pour les images, jsdelivr. CF #439. Mais on a déjà fait des efforts considérables sur ce plan.