Resolve "SBOM/SOUP periodic assessment 05/2024"
Closes #1139 (closed)
Do not merge until the SBOM list (see below) has been released.
Assessment log
App version v1.1.0 at commit 04c8ef67 (June 10, 2024)
Vulnerability scan
yarn install
error @angular-devkit/schematics@17.3.5: The engine "node" is incompatible with this module. Expected version "^18.13.0 || >=20.9.0". Got "16.17.0"
error Found incompatible module.-
nvm install 20.12.2(also used by GitLab CI) -
nvm use 20.12.2 -
npm install yarn -g(--> v1.22.22) -
yarn install -
yarn upgrade -
yarn audit
Result
Click to expand audit log
yarn audit v1.22.22
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ PDF.js vulnerable to arbitrary JavaScript execution upon │
│ │ opening a malicious PDF │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ pdfjs-dist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.2.67 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @compodoc/compodoc │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @compodoc/compodoc > pdfjs-dist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1097504 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Uncontrolled resource consumption in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ karma │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ karma > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1097496 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Uncontrolled resource consumption in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @angular-devkit/build-angular │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @angular-devkit/build-angular > chokidar > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1097496 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Uncontrolled resource consumption in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @angular-builders/custom-webpack │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @angular-builders/custom-webpack > │
│ │ @angular-devkit/build-angular > chokidar > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1097496 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Uncontrolled resource consumption in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @angular-devkit/build-angular │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @angular-devkit/build-angular > copy-webpack-plugin > │
│ │ fast-glob > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1097496 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Uncontrolled resource consumption in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @angular-builders/custom-webpack │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @angular-builders/custom-webpack > │
│ │ @angular-devkit/build-angular > copy-webpack-plugin > │
│ │ fast-glob > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1097496 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Uncontrolled resource consumption in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @angular-builders/custom-webpack │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @angular-builders/custom-webpack > │
│ │ @angular-devkit/build-angular > copy-webpack-plugin > globby │
│ │ > fast-glob > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1097496 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Uncontrolled resource consumption in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @angular-eslint/eslint-plugin │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @angular-eslint/eslint-plugin > @angular-eslint/utils > │
│ │ @typescript-eslint/utils > │
│ │ @typescript-eslint/typescript-estree > globby > fast-glob > │
│ │ micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1097496 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Uncontrolled resource consumption in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @angular-eslint/schematics │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @angular-eslint/schematics > @angular-eslint/eslint-plugin > │
│ │ @angular-eslint/utils > @typescript-eslint/utils > │
│ │ @typescript-eslint/typescript-estree > globby > fast-glob > │
│ │ micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1097496 │
└───────────────┴──────────────────────────────────────────────────────────────┘
9 vulnerabilities found - Packages audited: 1491
Severity: 9 High
Done in 2.49s.Discussion
1) pdfjs-dist
This vulnerability can be ignored. It only affects our documentation tool compodoc and thus does not interfere with the source code.
2) braces
A patch is available and the package can be upgraded as soon as our packages that use it allow it. Only affects the build process.
SBOM Assessment
Working copy of RC1_SW_04: https://docs.google.com/spreadsheets/d/1L75JiqwRbpV_9vf1CYoFCS-eZPttvONjxwnbslfvoNE/edit#gid=627303448 (shall replace the original once it has been approved)
| Color code | Meaning |
|---|---|
| 🟢 | New patch version |
| 🟡 | New minor version |
| New major version | |
| 🟣 | New package added |
Please pay special attention to the "Requirements" and "Verification Reasoning" columns for all new packages.
- Added new direct dependency: @cypress/schematic
- Added new auxiliary dependencies from
devDependenciesinpackage.json: @testing-library/cypress, eslint, @typescript-eslint/eslint-plugin, @typescript-eslint/parser, eslint-plugin-cypress, eslint-plugin-jasmine, jasmine-core, jasmine-ts, karma-jasmine, karma-jasmine-html-reporter, karma-chrome-launcher, karma-spec-reporter - Updated versions numbers according to yarn.lock.
Edited by Noel Simmel