mirror of
https://github.com/HolgerHatGarKeineNode/einundzwanzig-nostr.git
synced 2026-02-15 03:23:17 +00:00
9b4930f419
## Security Audit: Vite/esbuild Sicherheitslücke ### Problem `yarn audit` meldet eine **Moderate Vulnerability** in `esbuild` (Dependency von Vite 5.x): - **Package:** `esbuild` (transitive Dependency von `vite@5.4.21`) - **Schwachstelle:** Dev-Server erlaubt beliebige Cross-Origin-Requests – ein Angreifer könnte über einen bösartigen Browser-Tab auf den lokalen Dev-Server zugreifen - **Fix:** `esbuild >= 0.25.0` (enthalten in Vite 6+) Aktuelle Versionen: ``` vite: 5.4.21 → 7.3.1 (Major) laravel-vite-plugin: 1.3.0 → 2.1.0 (Major) ``` ### Lösung **Upgrade-Pfad:** 1. **Vite upgraden:** `yarn add -D vite@^7` (oder mindestens `vite@^6` für den Security-Fix) 2. **Laravel Vite Plugin upgraden:** `yarn add -D laravel-vite-plugin@^2` 3. **Vite-Config anpassen:** `vite.config.js` / `vite.config.ts` prüfen – breaking Changes zwischen v5 und v6/v7 beachten ### Vorgehen 1. **Dokumentation lesen:** Nutze `search-docs` mit `queries: ['vite', 'vite upgrade']` und `packages: ['laravel-vite-plugin']` 2. **Aktuellen Build prüfen:** `yarn run build` ausführen und sicherstellen dass es funktioniert (Baseline) 3. **Backup:** Aktuellen `yarn.lock` sichern 4. **Upgrade durchführen:** ```bash yarn add -D vite@^7 laravel-vite-plugin@^2 ``` 5. **`vite.config.js` lesen und auf Breaking Changes prüfen** – insbesondere: - Plugin-API Änderungen - CSS-Processing-Änderungen (PostCSS, Tailwind v4 Kompatibilität) - Asset-Handling-Änderungen 6. **Build testen:** `yarn run build` – muss fehlerfrei durchlaufen 7. **Dev-Server testen:** `yarn run dev` kurz starten und prüfen 8. **Security Audit bestätigen:** `yarn audit` erneut ausführen – die esbuild-Vulnerability sollte verschwunden sein 9. `php artisan test --compact` laufen lassen ### Betroffene Dateien - `package.json` – Version-Bumps - `yarn.lock` – Dependency-Tree Update - `vite.config.js` oder `vite.config.ts` – Ggf. Anpassungen für Breaking Changes - `resources/css/app.css` – Prüfen ob Tailwind v4 + PostCSS weiterhin funktioniert ### Risiken - Major-Version-Upgrade kann Breaking Changes haben - Tailwind v4 CSS-Import muss kompatibel bleiben - Flux UI Assets müssen weiterhin korrekt gebundelt werden ### Akzeptanzkriterien - `yarn audit` zeigt keine Vulnerabilities mehr - `yarn run build` läuft fehlerfrei - Dev-Server funktioniert - Alle bestehenden Tests bestehen - Tailwind CSS und Flux UI Components werden korrekt gerendert
31 lines
787 B
JSON
31 lines
787 B
JSON
{
|
|
"private": true,
|
|
"type": "module",
|
|
"scripts": {
|
|
"dev": "vite",
|
|
"build": "vite build"
|
|
},
|
|
"devDependencies": {
|
|
"@nostr-dev-kit/ndk": "^2.10.0",
|
|
"@tailwindcss/forms": "^0.5.8",
|
|
"autoprefixer": "^10.4.20",
|
|
"chart.js": "^4.4.4",
|
|
"chartjs-adapter-date-fns": "^3.0.0",
|
|
"date-fns": "^4.1.0",
|
|
"flatpickr": "^4.6.13",
|
|
"laravel-echo": "^2.3.0",
|
|
"laravel-vite-plugin": "^2",
|
|
"nostr-tools": "^2.7.2",
|
|
"postcss": "^8.4.41",
|
|
"pusher-js": "^8.4.0",
|
|
"tailwindcss": "^4.1.18",
|
|
"vite": "^7",
|
|
"webln": "^0.3.2"
|
|
},
|
|
"dependencies": {
|
|
"@tailwindcss/vite": "^4.1.18",
|
|
"concurrently": "^9.2.1",
|
|
"shiki": "^1.22.0"
|
|
}
|
|
}
|