fix(deps): scope @babel/core to 7.29.7 via override (security #241) #242
No reviewers
Labels
No labels
autopilot:pending-human
source:analyste
source:defenseur
source:human
source:medic
status:approved
status:blocked
status:in-progress
status:needs-clarification
status:needs-fix
status:ready
status:review
status:triage
type:bug
type:feature
type:infra
type:refactor
type:schema
type:security
No milestone
No project
No assignees
1 participant
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference: maximus/Simpl-Resultat#242
Loading…
Reference in a new issue
No description provided.
Delete branch "issue-241-babel-override"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Closes #241.
Change
Ajoute un
overridesscopé danspackage.jsonforçant@babel/coreà^7.29.7sous@vitejs/plugin-react:@babel/core@7.29.0(transitif, build-only via@vitejs/plugin-react) était signalé par GHSA-4x5r-pxfx-6jf8 (arbitrary file read viasourceMappingURL, low, CVSS 3.2).npm audit fixne peut pas le résoudre — la version est pinnée par le parent ; l'override force le patch 7.29.7 dans la range 7.x acceptée par le parent → non-breaking.Vérification locale
npm audit: 1 → 0 vulnerabilities@babel/core@7.29.7 overridden(une seule copie, dédupliquée) ; arbre inchangé (109 → 109 paquets, pas d'explosion contrairement àaudit fix)npm run build(tsc + vite) : ✅ 2599 modulesnpm test(vitest) : ✅ 635 / 635 (37 fichiers)Notes
[Unreleased].deps-security-2026-07(npm auditdésormais propre).🤖 Generated with Claude Code
Review adversariale — PR #242 :
fix(deps): scope @babel/core to 7.29.7 via overrideVerdict : APPROVE
Résumé
Override npm scopé et chirurgical, conforme exactement à la résolution prescrite dans l'issue #241. Épingle
@babel/core(transitif, build-only via@vitejs/plugin-react) à7.29.7, clôturant le dernier advisorynpm audit(GHSA-4x5r-pxfx-6jf8). CI verte, les deux CHANGELOG à jour, aucun impact runtime.Vérifications
@vitejs/plugin-reactcorrespond à la devDependency réelle (@vitejs/plugin-react@^4.7.0, variante Babel confirmée dansvite.config.ts, pas-swc). Lepackage-lock.jsonle prouve :@babel/core7.29.0 → 7.29.7, une seule copie dédupliquée, ranges internes@babel/*alignées sur^7.29.7."overrides": { "@vitejs/plugin-react": { "@babel/core": "^7.29.7" } }; la PR l'implémente verbatim. Range advisory<=7.29.0vulnérable, patché en7.29.7: correspond.main, aucun gap de pile stackée) —PR Check / rustsuccès 23m2s,PR Check / frontendsuccès 2m30s. Le job frontend enchaînenpm run build+vitest, ce qui confirme les 635/635 et le build annoncés dans la description.Security/Sécurité[Unreleased], référence #241 — conforme à la règle projet (double fichier).@babel/*sontdev: true; build-time only, cohérent avec l'app Tauri desktop (aucun serveur SSR/RSC visé par l'advisory).fix(deps): …,fixes #241.Note (non bloquant)
Le
package-lock.jsonembarque du churn attendu de re-résolutionnpm install, au-delà de@babel/*:browserslist4.28.1 → 4.28.4 et ses données (caniuse-lite,electron-to-chromium,node-releases,baseline-browser-mapping), plus l'hydratation des métadonnées"license". Tout est dev-only, dans les ranges, nombre de paquets inchangé (109 → 109). Bénin — build CI vert.Aucun problème bloquant. Bon à merger.
Review générée par
/pr-review(contexte adversarial, read-only).