dependencies security #54
Description
首先非常感謝easy-team 帶來了非常優秀的作品~
因爲公司要對舊的react project進行升級,所以接觸到了團隊相關的作品
而且也非常的容易上手,我基本上可以將就項目遷移到egg上面,
可是現在問題就是,相關的依賴版本太舊了,在公司的Jfrog Xray上會被block,而且是一些比較深層的依賴 例如connect和node-http-server:8.1.1
我自己在項目中使用npm audit fix 也并不能解決
因爲我們devops是需要Jenkins上打包的,而Jenkins得機子只能訪問内網,依賴需要通過内網的npm來安裝
而内網的npm就需要通過jfrog Xray的掃描,導致在部署上出了問題
希望可以對一些依賴進行整體的升級,或者加入一些bot 例如renovate