-
Notifications
You must be signed in to change notification settings - Fork 0
Audit
Anton Zhernov edited this page May 15, 2023
·
3 revisions
┌────────────────────────────────────────────────────────────┐
│ │
│ License Obligation Summary (300 Packages) │
│ │
├─────────────────────────────────────┬──────────────────────┤
│ Obligation │ Packages │
├─────────────────────────────────────┼──────────────────────┤
│ Must State Changes │ 15 packages │
│ Must Give Credit │ 0 packages │
│ Must Disclose Source │ 0 packages │
│ Must Include Original │ 0 packages │
│ Must Rename (If License Modified) │ 0 packages │
└─────────────────────────────────────┴──────────────────────┘
┌─────────────────────────────────────────────────────────────────────────┐
│ │
│ State Changes │
│ │
├────────────────────────────────────────────────────────────┬────────────┤
│ You must state significant changes made to these packages. │ License │
├────────────────────────────────────────────────────────────┼────────────┤
│ @humanwhocodes/[email protected] │ Apache 2.0 │
│ @kubernetes/[email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
│ [email protected] │ Apache 2.0 │
└────────────────────────────────────────────────────────────┴────────────┘
┌─────────────────────────────────────────────────────────────────────────────────────┐
│ │
│ Unknown Licenses │
│ │
├──────────────────────────────────────────┬──────────────────────────────────────────┤
│ Package │ License │
├──────────────────────────────────────────┼──────────────────────────────────────────┤
│ [email protected] │ Python 2.0 │
│ [email protected] │ - │
│ [email protected] │ 0BSD │
│ [email protected] │ - │
│ undefined@undefined │ - │
└──────────────────────────────────────────┴──────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate │ Server-Side Request Forgery in Request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @kubernetes/client-node │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @kubernetes/client-node > request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1091725 │
└───────────────┴──────────────────────────────────────────────────────────────┘
There is no easy fix for this vulnerability.
request is deprecated for quite some time now, although there was a PR that should fix the vulnerability.
Maintainers of @kubernetes/client-node are currently migrating from request to fetch. This should fix the vulnerability.