wontfix: some breaking changes #4623

Closed

acid-chicken wants to merge 3 commits from node11 into pg

pull from: node11

merge into: firefish:pg

firefish:develop

firefish:beta

firefish:main

firefish:rebrand

firefish:refactor/antennas-in-cache

firefish:feat/scylladb

firefish:feat/verify-links

firefish:fix/ssrf

firefish:fix/megalodon-docker

firefish:refactor/cache-server

firefish:Freeplay-deck

firefish:feat/embeds

firefish:fix/boost-publication

firefish:e2net-fix/authenticated-remote-note-lookups

firefish:e2net-fix/db-resolve-note-url

firefish:fix/2fa-dialog

firefish:rspack

firefish:husky

firefish:revert/focus-trap

firefish:refactor/emojis

firefish:nmkj-v14-docker

firefish:events

firefish:refactor/queue

firefish:lilithmooncohen-v14.0.0-release-prep-2

firefish:pyrox-aiscript-0.13

firefish:patron-labels

firefish:tweet-imports

firefish:refactor/rust

firefish:debug/loginbox

firefish:feat/meilisearch

firefish:refactor/rocket

firefish:supakaity-feature/edits

firefish:experiments/kaity-edits

firefish:experiments/edits

firefish:experiment/timelines

firefish:experiments/simplify-mentions

firefish:feature/capacitor

firefish:origin/develop

firefish:ckjs-in-ck

firefish:feat/renote-mutes

firefish:refactor/swiper

firefish:feature/edits

firefish:feature/nvue_router

firefish:fix/security

firefish:feature/help_menu

firefish:feature/masto-api

firefish:feature/app

firefish:refactor/backlinks

firefish:feature/gifbox

firefish:refactor/toml

Conversation 20 Commits 3 Files Changed 16

acid-chicken commented 2019-04-01 09:15:03 +00:00 (Migrated from github.com)

Summary

Resolves #3921

• Set Node.js minimum version to 11.7.0.
• Use 'crypto' API instead of crypto_key.cc with node-gyp.
• Force to use yarn (to install packages).
• Use yarn.lock to fix vulnerabilities.

## Summary Resolves #3921 * Set Node.js minimum version to 11.7.0. * Use 'crypto' API instead of crypto_key.cc with node-gyp. * Force to use yarn (to install packages). * Use yarn.lock to fix vulnerabilities.

mei23 commented 2019-04-01 11:46:57 +00:00 (Migrated from github.com)

yarnのものとcryptoは直接関係ないと思うので分けたい
Use yarn.lockで何がどう解決するかの説明がほしい
気がします

yarnのものとcryptoは直接関係ないと思うので分けたい `Use yarn.lock`で何がどう解決するかの説明がほしい 気がします

👍 1

acid-chicken commented 2019-04-01 11:48:52 +00:00 (Migrated from github.com)

yarn.lock で依存関係にある脆弱なパッケージのバージョンを強制的に上書きしています。

yarn.lock で依存関係にある脆弱なパッケージのバージョンを強制的に上書きしています。

mei23 commented 2019-04-01 11:49:46 +00:00 (Migrated from github.com)

yarn.lock で依存関係にある脆弱なパッケージのバージョンを強制的に上書きしています。

どのパッケージの どの脆弱性を どのバージョンで？

> yarn.lock で依存関係にある脆弱なパッケージのバージョンを強制的に上書きしています。 どのパッケージの どの脆弱性を どのバージョンで？

mei23 commented 2019-04-01 11:56:47 +00:00 (Migrated from github.com)

lodash や js-yaml など。

• などではなくて全て
• どのバージョンに存在するどんな脆弱性？
• どのバージョンで置き換えて解決しているのか

がないと何をおこなったか判断がつかないです

> lodash や js-yaml など。 - などではなくて全て - どのバージョンに存在するどんな脆弱性？ - どのバージョンで置き換えて解決しているのか がないと何をおこなったか判断がつかないです

acid-chicken commented 2019-04-01 11:56:54 +00:00 (Migrated from github.com)

yarn.lock で依存関係にある脆弱なパッケージのバージョンを強制的に上書きしています。

どのパッケージの どの脆弱性を どのバージョンで？

どのパッケージの

mocha や video-thumbnail-generator などの（他十数程度）

どの脆弱性を

lodash や js-yaml などに存在する既存の脆弱性を（他数十程度）

どのバージョンで

バージョンが明らかに固定されていたりが原因で更新が適用されないなど、場合に応じて互換性が崩壊しない程度に安全なバージョンで（ローカルの yarn.lock と差分とってもらったら早いと思います）

> > yarn.lock で依存関係にある脆弱なパッケージのバージョンを強制的に上書きしています。 > > どのパッケージの どの脆弱性を どのバージョンで？ > どのパッケージの mocha や video-thumbnail-generator などの（他十数程度） > どの脆弱性を lodash や js-yaml などに存在する既存の脆弱性を（他数十程度） > どのバージョンで バージョンが明らかに固定されていたりが原因で更新が適用されないなど、場合に応じて互換性が崩壊しない程度に安全なバージョンで（ローカルの yarn.lock と差分とってもらったら早いと思います）

👍 1

syuilo commented 2019-04-01 11:57:37 +00:00 (Migrated from github.com)

Node.js に yarn って最初から入ってなさそう(入ってないなら新たな依存関係として yarn を明記する必要がありそう)
インストールの手間が増えるので極力依存関係を増やしたくない気持ちがあります

Node.js に yarn って最初から入ってなさそう(入ってないなら新たな依存関係として yarn を明記する必要がありそう) インストールの手間が増えるので極力依存関係を増やしたくない気持ちがあります

😕 1

acid-chicken commented 2019-04-01 11:57:46 +00:00 (Migrated from github.com)

lodash や js-yaml など。

* などではなくて全て

* どのバージョンに存在するどんな脆弱性？

* どのバージョンで置き換えて解決しているのか

がないと何をおこなったか判断がつかないです

ごめんなさい、操作ミスで途中投稿されました。

> > lodash や js-yaml など。 > > * などではなくて全て > > * どのバージョンに存在するどんな脆弱性？ > > * どのバージョンで置き換えて解決しているのか > > > がないと何をおこなったか判断がつかないです ごめんなさい、操作ミスで途中投稿されました。

❤️ 1

acid-chicken commented 2019-04-01 11:59:13 +00:00 (Migrated from github.com)

ごめんなさい、混乱してきたので wontfix します。

ごめんなさい、混乱してきたので wontfix します。

mei23 commented 2019-04-01 12:01:14 +00:00 (Migrated from github.com)

依存関係の影響で存在する脆弱性を全般的に修正するためにyarn.lockを導入するということで了解しました

依存関係の影響で存在する脆弱性を全般的に修正するためにyarn.lockを導入するということで了解しました

mei23 commented 2019-04-01 12:02:08 +00:00 (Migrated from github.com)

ごめんなさい、混乱してきたので wontfix します。

えぇ…

> ごめんなさい、混乱してきたので wontfix します。 えぇ…

tamaina commented 2019-04-01 12:32:48 +00:00 (Migrated from github.com)

あきらめないで...

fixes #2789 ?

あきらめないで... fixes #2789 ?

tamaina commented 2019-04-01 12:37:04 +00:00 (Migrated from github.com)

アシチキがyarnで作業しているのでyarn.lockで対処するってことかな

私個人の要望としては、yarn.lockはとりあえず抜きにしてマージしてほしいと思った。そのうえでyarn.lockと同じものをpackage-lock.jsonでやってほしい

アシチキがyarnで作業しているのでyarn.lockで対処するってことかな 私個人の要望としては、yarn.lockはとりあえず抜きにしてマージしてほしいと思った。そのうえでyarn.lockと同じものをpackage-lock.jsonでやってほしい

👍 1 😕 1

acid-chicken commented 2019-04-01 12:37:57 +00:00 (Migrated from github.com)

yarn.lock と package-lock.json の併用は非推奨。

yarn.lock と package-lock.json の併用は非推奨。

syuilo commented 2019-04-01 12:42:02 +00:00 (Migrated from github.com)

package-lock.json だけ使うという意味そう

package-lock.json だけ使うという意味そう

tamaina commented 2019-04-01 12:42:19 +00:00 (Migrated from github.com)

リポジトリには、yarn.lockは含めずにpackage.jsonとpackage-lock.jsonだけを含めてほしいということです。それでは不都合ですか？

リポジトリには、yarn.lockは含めずにpackage.jsonとpackage-lock.jsonだけを含めてほしいということです。それでは不都合ですか？

acid-chicken commented 2019-04-01 12:43:45 +00:00 (Migrated from github.com)

package-lock.json の編集、yarn.lock のそれと比較して微妙に辛いものがあります。

package-lock.json の編集、yarn.lock のそれと比較して微妙に辛いものがあります。

tamaina commented 2019-04-01 12:44:49 +00:00 (Migrated from github.com)

ですので、このPRではとりあえずパッケージ関連の変更は含めず、そのほかの変更を取り入れたいという話です。

（説明不足でごめんなさい...）

ですので、このPRではとりあえずパッケージ関連の変更は含めず、そのほかの変更を取り入れたいという話です。 （説明不足でごめんなさい...）

acid-chicken commented 2019-04-01 12:45:29 +00:00 (Migrated from github.com)

？

？

tamaina commented 2019-04-01 12:47:14 +00:00 (Migrated from github.com)

えっと、ごめんなさい。やっぱりいいです

えっと、ごめんなさい。やっぱりいいです

acid-chicken commented 2019-04-07 08:57:12 +00:00 (Migrated from github.com)

ここで package-lock.json を入れてしまうと yarn ユーザーに影響が出るので wontfix にします。依然として、運用者が各自で脆弱性を修復しなければならないことだけ留意してください。

ここで package-lock.json を入れてしまうと yarn ユーザーに影響が出るので wontfix にします。**依然として、運用者が各自で脆弱性を修復しなければならないことだけ留意してください。**

Pull request closed

This pull request cannot be reopened because the branch was deleted.

Sign in to join this conversation.

Reviewers

No reviewers

Labels

Clear labels   

1️⃣ Good First Issue

  

❓needs more investigation

A bug whose causes are unknown   

Accessibility

Issues and PRs about improving accessibility   

Antennas

The Antennas feature   

Channels

The Channels feature   

Chat

The Chat feature   

Clips

The Clips feature   

CP/Settings

Issues about user or admin settings   

dependencies

Pull requests that update a dependency file   

Docker

PRs and Issues relating to docker   

Drive

The Drive feature   

External

Bugs caused by external libraries   

Galleries

The Galleries feature   

Groups

The Groups feature   

i18n

Internationalization (i18n) related issue/PR   

javascript

Pull requests that update Javascript code   

Kubernetes

Issues and PRs relating to Kubernetes   

Lists/Circles

The Lists/Circles feature   

Mobile

Issues about using Calckey with a mobile device   

Mutes/Blocks

Issues about mutes, blocks, silence   

Notifications

Issues about notifications   

Posts/Timelines

Issues about posts, timelines, threads   

Widgets

The Widgets feature   

‼️ wrong locales

This PR edits locales other than the ja-JP one. See locales/README.md   

☢️Breaking

This change breaks compatibility   

♻️Duplicate

This issue/PR already exists   

⚙️Server

Server side specific issue/PR   

⚠️bug?

This might be a bug   

✨Feature

This adds/improves/enhances a feature   

🧩API

Interface between server and client   

🐛Bug

Unexpected behavior   

💬Discussion

Being discussed or needs discussion   

📖Doc

Documentation related issue/PR   

🌌Federation

The Federation feature   

💴has reward

  

🔥high priority

  

🚫Invalid

Not based on facts / Outside the scope of Calckey   

🙏low priority

  

🖍MFM

The Misskey Flavored Markdown feature   

🧪needs test

This needs test code   

📜Pages

The Pages feature   

🐢Performance

Efficiency related issue/PR   

💚Refactor

Rewriting code without changing behavior   

🏠Room

The Room feature   

🔒Security

Security related issue/PR   

🤖Service Worker

SW related issue/PR   

🧪Test

Test related issue/PR   

🚧WIP

This is a work in progress   

🗿Wontfix

This will not be worked on   

👩‍💻AiScript

Issues/PRs related to AiScript   

🖥️Client

Client side specific issue/PR   

🛠️Dev

Development of Calckey itself   

🏳️needs help

This needs extra attention

No Label

1️⃣ Good First Issue

❓needs more investigation

Accessibility

Antennas

Channels

Chat

Clips

CP/Settings

dependencies

Docker

Drive

External

Galleries

Groups

i18n

javascript

Kubernetes

Lists/Circles

Mobile

Mutes/Blocks

Notifications

Posts/Timelines

Widgets

‼️ wrong locales

☢️Breaking

♻️Duplicate

⚙️Server

⚠️bug?

✨Feature

🧩API

🐛Bug

💬Discussion

📖Doc

🌌Federation

💴has reward

🔥high priority

🚫Invalid

🙏low priority

🖍MFM

🧪needs test

📜Pages

🐢Performance

💚Refactor

🏠Room

🔒Security

🤖Service Worker

🧪Test

🚧WIP

🗿Wontfix

👩‍💻AiScript

🖥️Client

🛠️Dev

🏳️needs help

Milestone

Clear milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

No Assignees

1 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: firefish/firefish#4623

There is no content yet.