Drupal 依赖漏洞检查
Drupal dependency vurenabilities check
我正在使用 Drupal 8.9.15(带有作曲家和 Docker)。
问题是 vurenabilities 依赖检查工具检测到大约 200 个问题,其中大部分与 Drupal 有关,其中大部分与 Drupal 使用的 jqueryui 有关,例如:
/web/core/assets/vendor/jquery.ui/node_modules/grunt-html/vnu.jar/META-INF/maven/commons-fileupload/commons-fileupload/pom.xml
/web/core/assets/vendor/jquery.ui/node_modules/babel-core/node_modules/lodash/package.json
/web/core/node_modules/ftp/package.json
如果 Drupal 是安全的 CMS,为什么会发生这种情况?
有可能以某种方式修复它吗?我看到软件包正在自动下载到 drupal 核心目录中的 node_modules。
不幸的是,这是推荐升级到 Drupal 9 的部分原因(相信我,路径比从 7 -> 8 好多了)。
据 Drupal 社区所知,jQuery UI 不再受支持 as mentioned in this change record。推荐的做法是升级到 Drupal 9。
回答您的问题,“如果 Drupal 是安全的 CMS,为什么会发生这种情况?”好吧,它是尽可能安全的,并且它的最终用户允许它是安全的。当 Drupal 8 发布时,仍然支持 jQuery UI。现在 Drupal 9 发布了,jQuery UI 不是核心的一部分。
如果升级到 Drupal 9,jQuery UI 的安全问题将不再是问题。
现在,这仅适用于 Drupal Core。可能仍然有一些 contrib 模块使用 jQuery UI 元素,但这不是核心维护者的责任。但是,正如更改记录中所列,他们提到了一些仍在使用这些资产的贡献模块。
我正在使用 Drupal 8.9.15(带有作曲家和 Docker)。 问题是 vurenabilities 依赖检查工具检测到大约 200 个问题,其中大部分与 Drupal 有关,其中大部分与 Drupal 使用的 jqueryui 有关,例如:
/web/core/assets/vendor/jquery.ui/node_modules/grunt-html/vnu.jar/META-INF/maven/commons-fileupload/commons-fileupload/pom.xml
/web/core/assets/vendor/jquery.ui/node_modules/babel-core/node_modules/lodash/package.json
/web/core/node_modules/ftp/package.json
如果 Drupal 是安全的 CMS,为什么会发生这种情况? 有可能以某种方式修复它吗?我看到软件包正在自动下载到 drupal 核心目录中的 node_modules。
不幸的是,这是推荐升级到 Drupal 9 的部分原因(相信我,路径比从 7 -> 8 好多了)。
据 Drupal 社区所知,jQuery UI 不再受支持 as mentioned in this change record。推荐的做法是升级到 Drupal 9。
回答您的问题,“如果 Drupal 是安全的 CMS,为什么会发生这种情况?”好吧,它是尽可能安全的,并且它的最终用户允许它是安全的。当 Drupal 8 发布时,仍然支持 jQuery UI。现在 Drupal 9 发布了,jQuery UI 不是核心的一部分。
如果升级到 Drupal 9,jQuery UI 的安全问题将不再是问题。
现在,这仅适用于 Drupal Core。可能仍然有一些 contrib 模块使用 jQuery UI 元素,但这不是核心维护者的责任。但是,正如更改记录中所列,他们提到了一些仍在使用这些资产的贡献模块。