Skip to content

chore(deps): resolve Dependabot security alerts#450

Open
humble-little-bear wants to merge 2 commits into
ckb-devrel:developfrom
humble-little-bear:dep-bumper/security-audit-2026-07-11
Open

chore(deps): resolve Dependabot security alerts#450
humble-little-bear wants to merge 2 commits into
ckb-devrel:developfrom
humble-little-bear:dep-bumper/security-audit-2026-07-11

Conversation

@humble-little-bear

Copy link
Copy Markdown
Contributor

This PR resolves the open Dependabot alerts shown in the issue by forcing the patched transitive versions via pnpm overrides.

Fixed

Package From To Severity Advisory
qs 6.15.0 6.15.2 Moderate GHSA-q8mj-m7cp-5q26
ip-address 10.1.0 10.1.1 Moderate GHSA-v2v4-37r5-5v8g
js-yaml 3.14.2 / 4.1.1 3.15.0 / 4.2.0 Moderate GHSA-h67p-54hq-rp68
@babel/core 7.28.6 7.29.7 Low GHSA-4x5r-pxfx-6jf8
@eslint/plugin-kit 0.2.8 0.3.4 Low GHSA-xffm-g5w8-qvg7
brace-expansion 5.0.5 5.0.6 Moderate GHSA-jxxr-4gwj-5jf2

Not auto-fixed

Package Severity Advisory Reason
elliptic Low GHSA-848j-6mx2-7j84 Patched version ">=6.6.2" is not yet published on npm (latest available is 6.6.1).

Verification

  • pnpm audit now reports only the unfixed elliptic advisory.
  • pnpm run typecheck, pnpm run test, and pnpm run build all pass.

🤖 Generated with Claude Code

Apply pnpm overrides to bump vulnerable transitive dependencies:
- qs 6.15.0 -> 6.15.2
- ip-address 10.1.0 -> 10.1.1
- js-yaml 3.14.2 -> 3.15.0 / 4.1.1 -> 4.2.0
- @babel/core 7.28.6 -> 7.29.7
- @eslint/plugin-kit 0.2.8 -> 0.3.4
- brace-expansion 5.0.5 -> 5.0.6

elliptic remains unfixed because patched version >=6.6.2 is not yet published on npm.

Co-Authored-By: Claude <noreply@anthropic.com>

@humble-little-bear humble-little-bear left a comment

Copy link
Copy Markdown
Contributor Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

[REVIEW-ORCHESTRATOR]

Review Report for #450

摘要

  • 审查维度:Correctness、Maintainability、Performance、Security
  • Specialist 参与:4 人(全部按时完成)
  • Challenger 过滤:原 13 条 findings → 保留 5 条
  • 最终裁决:CRITICAL: 1 | WARNING: 0 | SUGGESTION: 4
  • 阻断状态:BLOCKED(存在必须修复的 CRITICAL 安全问题)

CRITICAL(必须修复)

1. [Security/Correctness] @babel/core override 范围未覆盖安全公告中所有受影响版本

  • 位置pnpm-workspace.yaml:8
  • 描述:当前 override 为 "@babel/core@<=7.29.0": "7.29.7",但 GHSA-4x5r-pxfx-6jf8 的受影响版本范围是 <7.29.6。这意味着 7.29.1–7.29.5 之间的版本不会被强制升级到已修补的 7.29.7,若未来依赖树引入这些版本,安全漏洞仍然存在。
  • 证据
    # pnpm-workspace.yaml:8
    "@babel/core@<=7.29.0": "7.29.7"
    GHSA-4x5r-pxfx-6jf8 受影响范围:<7.29.6
  • 修复建议:将行 8 改为:
    "@babel/core@<7.29.6": "7.29.7"
    然后执行 pnpm install 重新生成 pnpm-lock.yaml
  • 冲突记录:Review-Challenger 建议将此 finding 从 CRITICAL 降级为 WARNING,理由是当前 lock 中仅有 7.28.6。Leader 否决该降级:本 PR 的核心目标就是修复安全公告,override 范围必须与公告范围一致才能确保防御完整,因此维持 CRITICAL。
  • Leader 备注:这是本 PR 唯一必须阻断合并的问题。修复后 pnpm audit 应仍只报告无法修复的 elliptic

SUGGESTION(可选优化)

2. [Maintainability] overrides 条目缺少注释说明覆盖原因与可移除条件

  • 位置pnpm-workspace.yaml:2-10
  • 描述:9 个 override 条目均无注释,后续维护者难以判断每个覆盖对应哪个安全公告、何时可以移除。
  • 修复建议:在每个条目上方添加注释,例如:
    overrides:
      # GHSA-xxx: remove when direct dependency upgrades form-data to >=4.0.6
      "form-data@>=4.0.0 <4.0.6": "4.0.6"
      # GHSA-yyy: remove when hono is >=4.12.25
      "hono@<4.12.25": "4.12.25"
      # GHSA-q8mj-m7cp-5q26: remove when qs is >=6.15.2
      "qs@>=6.11.1 <=6.15.1": "6.15.2"

3. [Maintainability] overrides 条目未按来源或类别分组

  • 位置pnpm-workspace.yaml:2-10
  • 描述:9 个条目平铺,无分隔或分组,可读性较差。
  • 修复建议:添加分组注释(例如 # Runtime dependencies / # Build/test tooling dependencies)或按字母顺序排序,方便查找。

4. [Maintainability] minimumReleaseAgeExclude 未说明与 overrides 的对应关系

  • 位置pnpm-workspace.yaml:15-21
  • 描述:列表无注释,新维护者难以理解每条排除项的原因。
  • 修复建议:在每条排除项旁添加注释,例如:
    minimumReleaseAgeExclude:
      - "@eslint/plugin-kit@0.3.4"  # matches override above
      - "ip-address@10.1.1"          # matches override above

5. [Performance/Maintainability] @babel/core override 未覆盖全部 @babel/*,导致 7.28.6 与 7.29.7 共存

  • 位置pnpm-lock.yaml:135/139、151/155、205/210
  • 描述:lock 中同时存在 @babel/code-frame@7.28.6@babel/code-frame@7.29.7 等多个 @babel/* 版本,导致 @babel/* 包条目从 35 增加到 41,占用从 12.3M 增加到 16.7M(+4.5M,+36%)。
  • 证据
    '@babel/code-frame@7.28.6':
      resolution: {integrity: ...}
    '@babel/code-frame@7.29.7':
      resolution: {integrity: ...}
  • 修复建议:如果希望进一步 dedupe,可在 pnpm-workspace.yaml overrides 中追加:
    "@babel/code-frame@<7.29.0": "7.29.7"
    "@babel/generator@<7.29.0": "7.29.7"
    "@babel/parser@<7.29.0": "7.29.7"
    "@babel/types@<7.29.0": "7.29.7"
    未发 7.29.7 的插件包保持现状。注意:这属于可选优化,超出本 PR 范围,且可能引入兼容性风险,建议单独评估。

被过滤的 findings(误报分析,供团队复盘)

原 finding 来源维度 Challenger 决定 理由
js-yaml@3.15.0 || 4.2.0 语法非法 Correctness / Maintainability DROP pnpm 10.19+ 的 minimumReleaseAgeExclude 支持版本析取语法
js-yaml@<3.15.0 覆盖范围过度宽泛 Correctness DROP GHSA-h67p-54hq-rp68 的 3.x 受影响范围就是 <3.15.0,override 与公告一致
@babel/core@<=7.29.0 覆盖范围过度宽泛 Correctness DROP 该条目实际上比公告的 <7.29.6 更窄,不是过宽
qs@>=6.11.1 <=6.15.1 覆盖范围可能过度宽泛 Correctness DROP GHSA-q8mj-m7cp-5q26 受影响范围为 >=6.11.1 <6.15.2,override 覆盖正确
overridesminimumReleaseAgeExclude 重复声明 Maintainability DROP 两者语义不同:前者强制解析版本,后者跳过 release-age 冷却
overrides 键值引号风格不统一 Maintainability DROP YAML 允许无引号键,含特殊字符的键已正确加引号
js-yaml@4.2.0 磁盘占用翻倍 Performance DROP 这是安全升级的已知代价,finding 自身也建议可接受
pnpm-lock.yaml 体积小幅增长 Performance DROP 依赖升级不可避免的 side effect,finding 自身结论也是增长可控

修复检查清单(供开发者勾选)

  • @babel/core override 范围从 <=7.29.0 改为 <7.29.6(或等价的 <=7.29.5
  • 执行 pnpm install 重新生成 pnpm-lock.yaml
  • 确认 pnpm audit 仅报告无法修复的 elliptic 公告
  • (可选)为 overridesminimumReleaseAgeExclude 条目添加注释
  • (可选)评估是否需要额外覆盖 @babel/code-frame@babel/generator@babel/parser@babel/types 以进一步 dedupe

其他说明

  • 其余 5 个 security override(qs、ip-address、js-yaml、@eslint/plugin-kit、brace-expansion)经核对范围与目标版本均与对应安全公告一致。
  • 未修复的 ellipticGHSA-848j-6mx2-7j84,补丁版本 >=6.6.2 尚未发布)披露准确,当前处理合理。
  • Performance 维度实测 pnpm run testpnpm run build 等未出现可测量的运行时性能回归。

@humble-little-bear humble-little-bear left a comment

Copy link
Copy Markdown
Contributor Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Review Report for #450

摘要

  • 审查维度:Correctness, Maintainability, Performance, Security
  • Specialist 参与:4 人(全部按时完成,无超时)
  • Challenger 过滤:原 13 条 findings → 保留 5 条(误报率约 62%)
  • 最终裁决:CRITICAL: 0 | WARNING: 1 | SUGGESTION: 4
  • 阻断状态:PASS_WITH_WARNINGS

误报分析(供团队复盘)

被 Challenger 过滤的 finding 中,以下 Specialist 的前提不成立或证据不足:

  • Correctness-Assessor:误以为 minimumReleaseAgeExclude 不支持 || 版本析取语法;实际上 pnpm 10.19+ 已支持。另对 js-yaml、@babel/core、qs 的 override 范围质疑均与 GHSA 公告范围一致,属于误报。
  • Maintainability-Assessor:将 overridesminimumReleaseAgeExclude 同一版本号判定为 DRY 重复,但两者语义不同(强制解析 vs 跳过 release-age 冷却);键值引号风格不统一也不会导致解析错误。
  • Performance-Assessor:js-yaml@4.2.0 磁盘占用翻倍和 pnpm-lock.yaml 体积增长均为安全升级的已知/可接受代价。

建议:在 Specialist prompt 中明确要求引用 pnpm 官方文档和 GHSA 公告原文,减少基于假设的范围质疑。

完整报告与修复清单见下方 inline comments 和本 summary。

Comment thread pnpm-workspace.yaml
"ip-address@<=10.1.0": "10.1.1"
"js-yaml@<3.15.0": "3.15.0"
"js-yaml@>=4.0.0 <=4.1.1": "4.2.0"
"@babel/core@<=7.29.0": "7.29.7"

Copy link
Copy Markdown
Contributor Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

[WARNING - Security] @babel/core override 范围偏窄

当前条目 <=7.29.0GHSA-4x5r-pxfx-6jf8 的受影响范围 <7.29.6 窄。若未来 lock 中出现 7.29.17.29.5,该 override 不会强制其升级到 7.29.7

建议改为:

"@babel/core@<7.29.6": "7.29.7"

然后执行 pnpm install 刷新 lock。

Comment thread pnpm-workspace.yaml
"ip-address@<=10.1.0": "10.1.1"
"js-yaml@<3.15.0": "3.15.0"
"js-yaml@>=4.0.0 <=4.1.1": "4.2.0"
"@babel/core@<=7.29.0": "7.29.7"

Copy link
Copy Markdown
Contributor Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

[SUGGESTION - Maintainability] 建议为 overrides 条目添加 GHSA / 移除条件注释,并按字母顺序或来源分组,以提升可维护性。例如:

# GHSA-4x5r-pxfx-6jf8: remove when direct dependency requires @babel/core >= 7.29.6
"@babel/core@<7.29.6": "7.29.7"

Comment thread pnpm-workspace.yaml Outdated
- qs@6.15.2
- brace-expansion@5.0.6
- "@babel/core@7.29.7"
- js-yaml@3.15.0 || 4.2.0

Copy link
Copy Markdown
Contributor Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

[SUGGESTION - Maintainability] minimumReleaseAgeExclude 条目建议添加注释说明其对应的 override 与原因,例如:

- "js-yaml@3.15.0 || 4.2.0" # matches overrides for GHSA-h67p-54hq-rp68

@humble-little-bear humble-little-bear left a comment

Copy link
Copy Markdown
Contributor Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Review Report for #450

摘要

  • 审查维度:Correctness, Maintainability, Performance, Security
  • Specialist 参与:4 人(全部完成,无超时)
  • Challenger 过滤:原 13 条 → 保留 9 条(DROP 4 条,DOWNGRADE 2 条)
  • 最终裁决:CRITICAL: 0 | WARNING: 5 | SUGGESTION: 4
  • 阻断状态:PASS_WITH_WARNINGS

关键更正说明

gh api /advisories/... 复核,上一版报告中将 @babel/core override 标为 CRITICAL 安全阻断存在事实错误:

  • GHSA-4x5r-pxfx-6jf8@babel/core 的 vulnerable range 为 <= 7.29.0,first patched 为 7.29.6
  • 当前 override "@babel/core@<=7.29.0": "7.29.7" 与公告范围完全一致。
  • 因此原 finding #2 为误报,应移除。本次 PR 无 CRITICAL 阻断项

WARNING(建议修复)

1. [Correctness] js-yaml@3.15.0 || 4.2.0minimumReleaseAgeExclude 中无效

  • 位置pnpm-workspace.yaml:21
  • 描述minimumReleaseAgeExclude 消费端通常按 package@version 单一条目解析,|| 不会被拆分为两个独立条目,导致该排除规则不生效。
  • 证据minimumReleaseAgeExclude: - js-yaml@3.15.0 || 4.2.0
  • 修复建议:拆分为两个独立条目:
    minimumReleaseAgeExclude:
      - "js-yaml@3.15.0"
      - "js-yaml@4.2.0"
  • Challenger 处理:CRITICAL → WARNING(安全面已由 overrides 强制升级覆盖,但配置语义仍错误)

2. [Maintainability] overridesminimumReleaseAgeExclude 重复声明同一补丁版本

  • 位置pnpm-workspace.yaml 多处
  • 描述:同一目标版本(如 @eslint/plugin-kit@0.3.4ip-address@10.1.1qs@6.15.2 等)同时出现在 overrides 与 exclude 中;虽用途不同,但升级时容易失步。
  • 修复建议:建立单一事实来源,例如用脚本从 overrides 目标版本自动生成 minimumReleaseAgeExclude,或在注释中明确标注成对关系。

3. [Maintainability] overrides 条目缺少注释说明

  • 位置pnpm-workspace.yaml:2-10
  • 描述:9 条 override 均无注释说明对应 advisory 与可移除条件,列表增长后难以维护。
  • 修复建议:在每条上方添加注释,例如:
    # GHSA-xxx: remove when direct dependency upgrades to >=4.0.6
    "form-data@>=4.0.0 <4.0.6": "4.0.2"

4. [Performance] js-yaml@4.2.0 磁盘占用翻倍

  • 位置pnpm-lock.yaml
  • 描述:unpacked size 386 KB → 874 KB,新增 3 个 sourcemap 文件共约 517 KB。
  • 修复建议:4.2.0 含 DoS/二次复杂度安全修复,不建议回退;可接受当前开销,或向上游反馈不要在发布包中包含 sourcemap。

5. [Performance] @babel/core override 未覆盖全部 @babel/*,导致版本重复

  • 位置pnpm-lock.yaml:135/139、151/155、205/210
  • 描述@babel/code-frame@babel/generator@babel/parser@babel/types 均同时存在 7.28.6 与 7.29.7 两个版本,且这 4 个包均有 7.29.7 发布。
  • 修复建议:在 pnpm-workspace.yaml 追加 override 条目以消除重复:
    "@babel/code-frame@<7.29.0": "7.29.7"
    "@babel/generator@<7.29.0": "7.29.7"
    "@babel/parser@<7.29.0": "7.29.7"
    "@babel/types@<7.29.0": "7.29.7"

SUGGESTION(可选优化)

6. [Maintainability] overrides 键值引号风格不统一

  • 位置pnpm-workspace.yaml:2-10
  • 描述:部分键使用双引号,部分未使用。
  • 修复建议:统一为双引号键(YAML 解析结果一致,但风格统一可提升可读性)。

7. [Maintainability] overrides 条目未分组/排序

  • 位置pnpm-workspace.yaml:2-10
  • 描述:9 条平铺,无分隔或分组。
  • 修复建议:添加分组注释(例如 # Dependencies from test tooling / # Runtime dependencies)或按字母顺序排序。

8. [Maintainability] minimumReleaseAgeExclude 未说明与 overrides 的对应关系

  • 位置pnpm-workspace.yaml:15-21
  • 描述:排除项无注释,新维护者难以理解。
  • 修复建议:在每条旁添加注释,例如:
    - "@eslint/plugin-kit@0.3.4"  # matches override above

9. [Performance] pnpm-lock.yaml 体积小幅增长

  • 位置pnpm-lock.yaml 整体
  • 描述:行数 6494 → 6561(+67 行,+1.0%),包条目增长有限。
  • 修复建议:当前可控,保持监控即可。

误报分析(供团队复盘)

  • #2 @babel/core override 范围未覆盖公告中所有受影响版本:DROP。 Specialist 对 GHSA-4x5r-pxfx-6jf8 的 vulnerable range 判断有误,实际为 <= 7.29.0
  • #3 js-yaml@<3.15.0 覆盖范围过度宽泛:DROP。GHSA-h67p-54hq-rp68 对 3.x 的 vulnerable range 正是 < 3.15.0
  • #4 @babel/core@<=7.29.0 覆盖范围相对 PR 描述过度宽泛:DROP。PR 描述仅列举实际安装的 7.28.6,属于简化表述。
  • #5 qs@>=6.11.1 <=6.15.1 范围可能过度宽泛:DROP。GHSA-q8mj-m7cp-5q26 的 vulnerable range 与此一致。

修复检查清单(供开发者勾选)

  • 修复 WARNING #1:拆分 js-yamlminimumReleaseAgeExclude 条目
  • 修复 WARNING #2:消除 overrides 与 minimumReleaseAgeExclude 的重复声明
  • 修复 WARNING #3:为 9 条 override 添加 advisory / 可移除条件注释
  • 修复 WARNING #4:确认 js-yaml@4.2.0 磁盘占用增长可接受
  • 修复 WARNING #5:追加 @babel/* override 实现版本去重

@humble-little-bear humble-little-bear left a comment

Copy link
Copy Markdown
Contributor Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

[REVIEW-ORCHESTRATOR]

Review Report for #450

摘要

  • 审查维度:Correctness, Maintainability, Performance, Security
  • Specialist 参与:4 人(全部完成,无超时)
  • Challenger 过滤:原 13 条 → 保留 4 条(误报率 69%)
  • 最终裁决:CRITICAL: 1 | WARNING: 2 | SUGGESTION: 1
  • 阻断状态:BLOCKED(存在 1 个 CRITICAL Security 问题)

CRITICAL(必须修复)

1. [Security] @babel/core override 范围未覆盖完整受影响版本

  • 位置pnpm-workspace.yaml:8
  • 描述:当前 override "@babel/core@<=7.29.0": "7.29.7"GHSA-4x5r-pxfx-6jf8 的受影响范围 <7.29.6 不一致。若未来依赖解析出现 7.29.1–7.29.5 区间版本,将不会被强制升级到已修补的 7.29.7,存在安全策略缺口。
  • 证据
    overrides:
      "@babel/core@<=7.29.0": "7.29.7"
  • 修复建议:将行 8 改为:
    "@babel/core@<7.29.6": "7.29.7"
    或等价的 "@babel/core@<=7.29.5": "7.29.7",然后执行 pnpm install 重新生成 pnpm-lock.yaml
  • 冲突记录:Correctness 曾质疑该范围过宽,但 Security 维度具有一票否决权;Challenger 确认该范围实际过窄而非过宽。

WARNING(建议修复)

2. [Correctness + Maintainability] minimumReleaseAgeExcludejs-yaml@3.15.0 || 4.2.0 语法不一致

  • 位置pnpm-workspace.yaml:21
  • 描述:该列表项使用 || 复合版本选择器,与列表中其他精确 package@version 条目的语义不一致,可能导致 pnpm 或下游治理工具解析差异,最小发布年龄检查可能无法正确豁免 3.15.0 和 4.2.0 两个版本。
  • 证据
    minimumReleaseAgeExclude:
      - js-yaml@3.15.0 || 4.2.0
  • 修复建议:拆分为两个独立精确条目:
    minimumReleaseAgeExclude:
      - "js-yaml@3.15.0"
      - "js-yaml@4.2.0"
  • Challenger 备注:原 Correctness 标 CRITICAL,Challenger 认为该字段仅影响发布年龄检查、不影响实际安全覆盖,DOWNGRADE 为 WARNING。

3. [Maintainability] overrides 条目缺少覆盖原因与可移除条件注释

  • 位置pnpm-workspace.yaml:2-10
  • 描述:9 个 override 条目均无注释说明对应的安全公告编号、覆盖原因及何时可以移除。随着列表增长,临时性安全覆盖将难以维护,容易遗留过期约束。
  • 证据
    overrides:
      "form-data@>=4.0.0 <4.0.6": "4.0.6"
      "hono@<4.12.25": "4.12.25"
      # ... 共 9 条,均无注释
  • 修复建议:在每个条目上方添加注释,例如:
    overrides:
      # GHSA-xxx: remove when direct dependency upgrades to >=4.0.6
      "form-data@>=4.0.0 <4.0.6": "4.0.6"

SUGGESTION(可选优化)

4. [Maintainability] minimumReleaseAgeExclude 未说明与 overrides 的对应关系

  • 位置pnpm-workspace.yaml:15-21
  • 描述:排除项列表未注释说明每个条目是为了让上方 override 的目标版本绕过发布年龄检查,新维护者难以识别 minimumReleaseAgeExcludeoverrides 的成对关系。
  • 证据
    minimumReleaseAgeExclude:
      - "@eslint/plugin-kit@0.3.4"
  • 修复建议:在每条排除项旁添加注释:
    minimumReleaseAgeExclude:
      - "@eslint/plugin-kit@0.3.4" # matches override above

误报分析(供团队复盘)

  • Correctness-Assessor 提出的 js-yaml@<3.15.0@babel/core@<=7.29.0qs@>=6.11.1 <=6.15.1 范围过宽被 Challenger 过滤:安全 override 按 advisory 受影响区间覆盖是标准做法,仅因 PR 描述举了单个版本就认为范围过宽是误报。
  • Performance-Assessor 提出的 @babel/* 版本共存、磁盘占用、sourcemap 增长被过滤:选择性 override 是预期行为,磁盘占用不是安全修复的审查标准。
  • Maintainability-Assessor 提出的 DRY 违反、引号风格不统一、条目未分组被过滤:override 与 exclude 职责不同,引号风格不影响 YAML 解析,当前条目数量尚未达到需要分组的规模。
  • Performance-Assessor 提出的 pnpm-lock.yaml 体积小幅增长被过滤:重新生成 lockfile 后的正常波动。

修复检查清单(供开发者勾选)

  • 修复 CRITICAL #1:将 @babel/core override 范围改为 <7.29.6(或 <=7.29.5)并重新生成 lockfile
  • 修复 WARNING #2:拆分 js-yaml@3.15.0 || 4.2.0 为两个精确条目
  • 修复 WARNING #3:为 overrides 条目添加 GHSA 编号和可移除条件注释
  • 可选 SUGGESTION #4:为 minimumReleaseAgeExclude 条目添加 # matches override above 注释

Review conducted by Code-Review-Squad via Multica. Findings were adversarially verified by Review-Challenger before inclusion.

@humble-little-bear humble-little-bear left a comment

Copy link
Copy Markdown
Contributor Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

[REVIEW-ORCHESTRATOR] Correction after second adversarial pass\n\nRe-verified GHSA-4x5r-pxfx-6jf8 via GitHub Advisory API: the vulnerable range for @babel/core is <= 7.29.0, not < 7.29.6. The override "@babel/core@<=7.29.0": "7.29.7" covers the full advisory range, so the CRITICAL finding from the second Challenger pass is overridden.\n\nUpdated final verdict: CRITICAL 0 | WARNING 2 | SUGGESTION 1 | PASS_WITH_WARNINGS.\n\nRemaining items:\n- WARNING: split js-yaml@3.15.0 || 4.2.0 in minimumReleaseAgeExclude into two exact entries.\n- WARNING: add advisory/removal comments to each overrides entry.\n- SUGGESTION: add # matches override above style comments to minimumReleaseAgeExclude entries.

…ntax

- Document each pnpm override with its GHSA ID and removal condition.
- Split js-yaml@3.15.0 || 4.2.0 into two exact minimumReleaseAgeExclude entries.
- Quote all minimumReleaseAgeExclude entries consistently.

Co-Authored-By: Claude <noreply@anthropic.com>
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

1 participant