storybook [Bug]:故事书7.6.*版本依赖于高度易受攻击的ip软件包

ncecgwcz  于 4个月前  发布在  其他
关注(0)|答案(3)|浏览(38)

描述bug

我遇到了一个由npm审计标记的高危漏洞问题,与ip包有关。这个问题出现在storybook核心服务器依赖中。我注意到这个漏洞已经在Storybook的最新版本(8.1.9)中得到解决,并在#26014中修复。我们是否可以回滚到7.6.*的路径,这将对那些使用7.6.*的用户有所帮助?

复现链接

https://github.com/storybookjs/storybook

复现步骤

系统

npx storybook@latest info

Storybook Environment Info:

  System:
    OS: macOS 14.5
    CPU: (10) arm64 Apple M1 Max
    Shell: 5.9 - /bin/zsh
  Binaries:
    Node: 20.12.2 - /opt/homebrew/opt/node@20/bin/node
    Yarn: 1.22.19 - /opt/homebrew/bin/yarn
    npm: 10.5.0 - /opt/homebrew/opt/node@20/bin/npm <----- active
  Browsers:
    Chrome: 125.0.6422.142
    Edge: 126.0.2592.56
    Safari: 17.5
  npmPackages:
    @storybook/addon-a11y: 7.6.17 => 7.6.17
    @storybook/addon-actions: 7.6.17 => 7.6.17
    @storybook/addon-controls: 7.6.17 => 7.6.17
    @storybook/addon-designs: 7.0.9 => 7.0.9
    @storybook/addon-docs: 7.6.17 => 7.6.17
    @storybook/addon-storysource: 7.6.17 => 7.6.17
    @storybook/addon-toolbars: 7.6.17 => 7.6.17
    @storybook/addon-viewport: 7.6.17 => 7.6.17
    @storybook/addons: 7.6.17 => 7.6.17
    @storybook/api: 7.6.17 => 7.6.17
    @storybook/cli: 7.6.17 => 7.6.17
    @storybook/client-api: 7.6.17 => 7.6.17
    @storybook/components: 7.6.17 => 7.6.17
    @storybook/core-client: 7.6.17 => 7.6.17
    @storybook/core-events: 7.6.17 => 7.6.17
    @storybook/core-server: 7.6.17 => 7.6.17
    @storybook/html: 7.6.17 => 7.6.17
    @storybook/manager-api: 7.6.17 => 7.6.17
    @storybook/preview-api: 7.6.17 => 7.6.17
    @storybook/source-loader: 7.6.17 => 7.6.17
    @storybook/theming: 7.6.17 => 7.6.17
    @storybook/web-components: 7.6.17 => 7.6.17
    @storybook/web-components-webpack5: 7.6.17 => 7.6.17
    storybook: 7.6.17 => 7.6.17

附加上下文

  • 无响应*
hwamh0ep

hwamh0ep2#

Storybook 8需要node 18。我们有一些依赖项需要node 16(它们已被弃用,我们正在尝试迁移,但这并不简单)。迁移指南说
如果这些新需求或更改是您项目的障碍,我们建议您继续使用Storybook 7.x。
这是否应该被认可?或者这个变化有没有可能被回溯到7?

axzmvihb

axzmvihb3#

我们在迁移依赖项和替换Storybook 8的其他插件时遇到了类似的问题。由于在Storybook中已经有解决方案和修复,将补丁回溯到版本7是否可行?

相关问题