보안 공지

소프트웨어 결함과 보안 취약점에 대한 신속한 대응은 Antora의 최우선 과제입니다. 위협이 항상 존재하지만, 우리는 철저한 품질 보증을 위해 거의 100%에 가까운 테스트 적용 범위를 유지하고 있습니다. 이 페이지는 간과된 항목들과 그 해결 방법을 문서화합니다.

inflight 및 glob 사용 중단 공지

요약

Asciidoctor.js는 asciidoctor-opal-runtime에 의존하며, 이는 다시 사용 중단된 glob 패키지를 사용합니다. glob 패키지는 또 다른 사용 중단된 패키지인 inflight에 의존하고 있습니다. 우리는 이 문제를 인식하고 있으며, 가능한 한 빨리 의존성 체인에서 glob을 제거할 계획입니다.

영향받는 버전

모든 Antora 버전.

해결 계획

의존성 체인에서 glob 의존성을 명시적으로 업그레이드하여 npm에서 발생하는 경고를 제거할 수 있습니다. 이를 위해 package.json 파일에 다음 오버라이드를 추가하세요:

"overrides": {
  "asciidoctor-opal-runtime": {
    "glob": "~10.4"
  }
}

이 해결책은 이 사이트의 빌드에 사용되고 있습니다. 안타깝게도 npm 오버라이드는 라이브러리 자체가 아닌 라이브러리의 사용자만 사용할 수 있습니다. 따라서 이는 Antora 자체가 실행할 수 있는 해결책이 아닙니다.

평가

다행히도 Antora는 Asciidoctor.js가 의존하는 glob 라이브러리를 전혀 사용하지 않으므로 이 사용 중단은 무관합니다. 그러나 우리는 이 공지가 성가시고 이를 보는 사용자들의 보안 프로토콜을 트리거할 수 있다는 점을 인식하고 있습니다.

참조