Défaut de dépendance (# npm audit report)

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Défaut de dépendance (# npm audit report)

valerypetit

mode initiative

Bonjour,

Je suis tout nouveau dans le monde de javascript.
J’apprends sur le tas en essayant de développer une idée qui me trotte dans la tête.

malheureusement, en faisant des essais, j'ai installer tout un tas de dépendance qui me remontent un certain nombre de défauts

lorsque j'efface node_modules et Package-lok.json et que je relance "npm install" le terminal m'annonce 159 vulnerabilities (6 low, 86 moderate, 62 high, 5 critical)

après un "npm audit --force" je tombe à 8 vulnerabilities (2 moderate, 6 high)

j'ai cherché un peu, je vous avoue je sèche.
j’essaie d'avoir un code propre mais les dépendance ça me dépasse.

est ce que vous pourriez me donner votre avis sur mon package.json?

Code :

{
"name": "react-card",
"private": true,
"version": "0.0.0",
"type": "module",
"scripts": {
"dev": "vite",
"build": "tsc &&vite build",
"preview": "vite preview",
"lint": "eslint . --ext ts,tsx --report-unused-disable-directives --max-warnings 0"
},
"dependencies": {
"react": "^18.0.0",
"react-dom": "^18.0.0",
"react-scripts": "^5.0.1",
"react-spring": "5.3.8",
"react-swipy": "^0.0.6"
},
"devDependencies": {
"@types/react": "^18.3.3",
"@types/react-dom": "^18.3.0",
"@vitejs/plugin-react-swc": "^3.7.0",
"eslint-plugin-react-refresh": "^0.4.5",
"sass": "^1.77.8",
"vite": "^5.1.6",
"vite-plugin-pwa": "^0.20.1"
}
}

Merci d'avance

---------------
Il y a deux choses d'infini au monde : l'univers et la bêtise humaine... mais pour l'univers j'en suis pas très sûr

Publicité

valerypetit

mode initiative

Je pense que le rapport du terminal peut également vous intéresser

Code :

# npm audit report
nth-check <2.0.1
Severity: high
Inefficient Regular Expression Complexity in nth-check - https://github.com/advisories/GHSA-rp65-9cf3-cjxr
fix available via `npm audit fix --force`
Will install react-scripts@3.0.1, which is a breaking change
node_modules/svgo/node_modules/nth-check
css-select <=3.1.0
Depends on vulnerable versions of nth-check
node_modules/svgo/node_modules/css-select
svgo 1.0.0 - 1.3.2
Depends on vulnerable versions of css-select
node_modules/svgo
@svgr/plugin-svgo <=5.5.0
Depends on vulnerable versions of svgo
node_modules/@svgr/plugin-svgo
@svgr/webpack 4.0.0 - 5.5.0
Depends on vulnerable versions of @svgr/plugin-svgo
node_modules/@svgr/webpack
react-scripts >=2.1.4
Depends on vulnerable versions of @svgr/webpack
Depends on vulnerable versions of resolve-url-loader
node_modules/react-scripts
Depends on vulnerable versions of svgo
node_modules/@svgr/plugin-svgo
@svgr/webpack 4.0.0 - 5.5.0
Depends on vulnerable versions of @svgr/plugin-svgo
node_modules/@svgr/webpack
react-scripts >=2.1.4
Depends on vulnerable versions of @svgr/webpack
Depends on vulnerable versions of svgo
node_modules/@svgr/plugin-svgo
@svgr/webpack 4.0.0 - 5.5.0
Depends on vulnerable versions of svgo
Depends on vulnerable versions of svgo
node_modules/@svgr/plugin-svgo
@svgr/webpack 4.0.0 - 5.5.0
Depends on vulnerable versions of @svgr/plugin-svgo
node_modules/@svgr/webpack
react-scripts >=2.1.4
Depends on vulnerable versions of @svgr/webpack
Depends on vulnerable versions of resolve-url-loader
node_modules/react-scripts
postcss <8.4.31
Severity: moderate
PostCSS line return parsing error - https://github.com/advisories/GHSA-7fh5-64p2-3v2j
fix available via `npm audit fix --force`
Will install react-scripts@3.0.1, which is a breaking change
node_modules/resolve-url-loader/node_modules/postcss
resolve-url-loader 0.0.1-experiment-postcss || 3.0.0-alpha.1 - 4.0.0
Depends on vulnerable versions of postcss
node_modules/resolve-url-loader
8 vulnerabilities (2 moderate, 6 high)

---------------
Il y a deux choses d'infini au monde : l'univers et la bêtise humaine... mais pour l'univers j'en suis pas très sûr

gatsu35

Blablaté par Harko

déjà d'une chose :
- Vérifier ta version de nodeJS, du react 18 c'est plutôt du node 18 voire 20 de préférence.

ensuite vérifier tes packages, et qu'ils soient bien à jour :

npm-check-updates le permet : https://www.npmjs.com/package/npm-check-updates

tu tapes ncu -u
pour forcer les updates et hop un npm i et on est bon.

Si tu fais du vites, tu n'a pas à avoir react-script dans le package.
react-scripts c'était le truc avant qu'on utilisait lorsqu'on générait un projet avec Create-react-app

donc vire les dépendances :
"react-scripts": "^5.0.1",

un package semi nettoyé :

Code :

{
"name": "react-card",
"private": true,
"version": "0.0.0",
"type": "module",
"scripts": {
"dev": "vite",
"build": "tsc && vite build",
"preview": "vite preview",
"lint": "eslint . --ext ts,tsx --report-unused-directives --max-warnings 0"
},
"dependencies": {
"react": "^18.2.0",
"react-dom": "^18.2.0",
"react-spring": "^9.7.3",
"react-swipy": "^0.0.6"
},
"devDependencies": {
"@types/react": "^18.2.64",
"@types/react-dom": "^18.2.21",
"@vitejs/plugin-react-swc": "^3.7.0",
"eslint-plugin-react-refresh": "^0.4.5",
"sass": "^1.71.1",
"vite": "^5.1.6",
"vite-plugin-pwa": "^0.19.2"
}
}

n'oublie pas d'écrire des tests pour ton code, test unitaires avec vitest et tests fonctionnels avec cypress ou playwright, c'est le minimum syndical à mes yeux

Message édité par gatsu35 le 08-08-2024 à 11:14:00

---------------
Blablaté par Harko

valerypetit

mode initiative

Merci beaucoup gatsu35!
Je regarde ça demain.
j'avais remarqué que react-Script avait tendance à poser des problème, mais j'avais cru comprendre que pour certain paquet il valait mieux parfois rester sur des anciennes versions.
dans mon cas, je glane du code sur internet et typiquement, c'est de cette façon que react-script est arrivé....
j'avais testé le code sans problème, les problèmes sont arrivés lorsque je l'ai intégré et monté en version.

Je vais pousser les essais.

concernant vitest cypress, tu me parle chinois, mais je vais regarder ça. je t'avoue écrire du code qui sers à tester le code que j'ai écris....

---------------
Il y a deux choses d'infini au monde : l'univers et la bêtise humaine... mais pour l'univers j'en suis pas très sûr

valerypetit

mode initiative

ça a effectivement l'air beaucoup plus propre, merci beaucoup!

tu m'as fais baisser certaines versions dans Package.json, comme je m'y attendais les valeurs sont remontés lors de la mise à jour.
quel est le but de la manœuvre?

j’étais en Node.js 18, je suis passé en 20

voici les Package finaux.

Code :

{
"name": "react-card",
"private": true,
"version": "0.0.0",
"type": "module",
"scripts": {
"dev": "vite",
"build": "tsc &&vite build",
"preview": "vite preview",
"lint": "eslint . --ext ts,tsx --report-unused-disable-directives --max-warnings 0"
},
"dependencies": {
"react": "^18.3.1",
"react-dom": "^18.3.1",
"react-spring": "9.7.4",
"react-swipy": "^0.0.6"
},
"devDependencies": {
"@types/react": "^18.3.3",
"@types/react-dom": "^18.3.0",
"@vitejs/plugin-react-swc": "^3.7.0",
"eslint-plugin-react-refresh": "^0.4.9",
"sass": "^1.77.8",
"vite": "^5.4.0",
"vite-plugin-pwa": "^0.20.1"
}
}

Je suis passé à zéro défaut

Message cité 1 fois
Message édité par valerypetit le 09-08-2024 à 07:24:22

---------------
Il y a deux choses d'infini au monde : l'univers et la bêtise humaine... mais pour l'univers j'en suis pas très sûr

gatsu35

Blablaté par Harko

valerypetit a écrit :

ça a effectivement l'air beaucoup plus propre, merci beaucoup!

tu m'as fais baisser certaines versions dans Package.json, comme je m'y attendais les valeurs sont remontés lors de la mise à jour.
quel est le but de la manœuvre?

[/cpp]

Je suis passé à zéro défaut

Erreur de ma part désolé

personnellement as-tu lancé un coup de npm-check-updates ?
tu mettras tout.à jour ainsi

Edit : concernant le fait d'écrire du code pour tester du code, c'est complètement normal.

Quand tu écris du code, c'est quand même plaisant d'avoir un bout de code qui lances ta fonction et qui vérifie à ta place si elle retourne ce que tu lui as demandé.

L'avantage :
- tu peux tester tous les différents use-cases d'un coup et rapidement
- tu peux éviter des régressions dans le code en relancant tes tests.

Vitest c'est très utilie pour du test unitaire (tester des fonctions, des classes)
Et Cypress c'est plus utilisé pour tester dans un navigateur des parcours utilisateur.

Message édité par gatsu35 le 09-08-2024 à 11:41:28

---------------
Blablaté par Harko

valerypetit

mode initiative

Oui c'est bon, j'ai fais ncu -u, les valeurs dans package.json ont étés remplacées.

merci pour les conseil pour tester l'app.
je vais regarder ça.

Message cité 1 fois

---------------
Il y a deux choses d'infini au monde : l'univers et la bêtise humaine... mais pour l'univers j'en suis pas très sûr

gatsu35

Blablaté par Harko

valerypetit a écrit :

Oui c'est bon, j'ai fais ncu -u, les valeurs dans package.json ont étés remplacées.

merci pour les conseil pour tester l'app.
je vais regarder ça.

Et sinon si tu veux aller très vite, tu te prends un abonnement chez claude.ai (c'est comme chatgpt mais je trouve mieux) et tu lui poses tes questions
tu verras, c'est efficace de fou

---------------
Blablaté par Harko

valerypetit

mode initiative

Ha merci,
Je fais ça sur chat GPT et il y a souvent des erreurs.
Je vais regarder

---------------
Il y a deux choses d'infini au monde : l'univers et la bêtise humaine... mais pour l'univers j'en suis pas très sûr

FORUM HardWare.fr

Programmation

Javascript/Node.js

Défaut de dépendance (# npm audit report)

Sujets relatifs
css valeur par défaut	Choisir une valeur par défaut sur une liste de choix
Constructeur par défaut	Cognos report studio expression Case avec between
[Excel / VBA] Récupérer la passerelle par défaut	creation d'un script pour deplacer les dossier par defaut
! UP ! VBScript Changer une imprimante par défaut grâce à son IP	crystal report - sql pour tester valeur d'un champ
C# et Crystal Report	VBA: imprimer en couleur sur imprimante en N&B par défaut ?
Plus de sujets relatifs à : Défaut de dépendance (# npm audit report)

Page générée en 0.067 secondes