mirror of
https://github.com/HolgerHatGarKeineNode/einundzwanzig-nostr.git
synced 2026-02-15 03:23:17 +00:00
9b4930f419
## Security Audit: Vite/esbuild Sicherheitslücke ### Problem `yarn audit` meldet eine **Moderate Vulnerability** in `esbuild` (Dependency von Vite 5.x): - **Package:** `esbuild` (transitive Dependency von `vite@5.4.21`) - **Schwachstelle:** Dev-Server erlaubt beliebige Cross-Origin-Requests – ein Angreifer könnte über einen bösartigen Browser-Tab auf den lokalen Dev-Server zugreifen - **Fix:** `esbuild >= 0.25.0` (enthalten in Vite 6+) Aktuelle Versionen: ``` vite: 5.4.21 → 7.3.1 (Major) laravel-vite-plugin: 1.3.0 → 2.1.0 (Major) ``` ### Lösung **Upgrade-Pfad:** 1. **Vite upgraden:** `yarn add -D vite@^7` (oder mindestens `vite@^6` für den Security-Fix) 2. **Laravel Vite Plugin upgraden:** `yarn add -D laravel-vite-plugin@^2` 3. **Vite-Config anpassen:** `vite.config.js` / `vite.config.ts` prüfen – breaking Changes zwischen v5 und v6/v7 beachten ### Vorgehen 1. **Dokumentation lesen:** Nutze `search-docs` mit `queries: ['vite', 'vite upgrade']` und `packages: ['laravel-vite-plugin']` 2. **Aktuellen Build prüfen:** `yarn run build` ausführen und sicherstellen dass es funktioniert (Baseline) 3. **Backup:** Aktuellen `yarn.lock` sichern 4. **Upgrade durchführen:** ```bash yarn add -D vite@^7 laravel-vite-plugin@^2 ``` 5. **`vite.config.js` lesen und auf Breaking Changes prüfen** – insbesondere: - Plugin-API Änderungen - CSS-Processing-Änderungen (PostCSS, Tailwind v4 Kompatibilität) - Asset-Handling-Änderungen 6. **Build testen:** `yarn run build` – muss fehlerfrei durchlaufen 7. **Dev-Server testen:** `yarn run dev` kurz starten und prüfen 8. **Security Audit bestätigen:** `yarn audit` erneut ausführen – die esbuild-Vulnerability sollte verschwunden sein 9. `php artisan test --compact` laufen lassen ### Betroffene Dateien - `package.json` – Version-Bumps - `yarn.lock` – Dependency-Tree Update - `vite.config.js` oder `vite.config.ts` – Ggf. Anpassungen für Breaking Changes - `resources/css/app.css` – Prüfen ob Tailwind v4 + PostCSS weiterhin funktioniert ### Risiken - Major-Version-Upgrade kann Breaking Changes haben - Tailwind v4 CSS-Import muss kompatibel bleiben - Flux UI Assets müssen weiterhin korrekt gebundelt werden ### Akzeptanzkriterien - `yarn audit` zeigt keine Vulnerabilities mehr - `yarn run build` läuft fehlerfrei - Dev-Server funktioniert - Alle bestehenden Tests bestehen - Tailwind CSS und Flux UI Components werden korrekt gerendert
WIP