安全公告

对软件缺陷和安全漏洞的迅速响应是Antora的首要任务。尽管威胁是生活的一部分，但我们非常重视质量保证，几乎实现了100%的测试覆盖率。本页面记录了那些被忽略的问题以及如何解决它们。

安全公告 CVE-2020-28469

ID: CVE-2020-28469
发布日期: 2021年6月7日

摘要

该项目引入的glob-parent版本存在已知的安全漏洞，作为vinyl-fs的传递依赖项（通过glob-stream）。我们已经意识到这个问题，并计划尽快从依赖链中消除它。

受影响版本

Antora的所有版本。

补救计划

vinyl-fs的维护者拒绝解决这个问题，因此我们将彻底从Antora中移除vinyl-fs。然而，这不是一个简单的更改，需要时间来解决。我们计划在3.x版本线的后续发布中完全移除它。

与此同时，您可以在依赖链中显式升级此依赖项，从而消除npm发出的警告，方法是向您的package.json文件添加以下覆盖项。

"overrides": {
  "vinyl-fs": {
    "glob-stream": "~7.0"
  }
}

此补救方案在本站点的构建中使用。您可以在package.json文档中了解更多关于npm覆盖的信息。不幸的是，npm覆盖只能被库的使用者使用，而不能被库本身使用。因此，这不是Antora本身可以执行的补救方案。

评估

幸运的是，Antora以受控的方式使用glob-parent，因此这个漏洞对Antora不构成攻击向量。但是，我们意识到这个通知可能会让看到它的用户感到恼火，并可能触发安全协议。

参考资料