fix(deps): scope @babel/core to 7.29.7 via override (security #241) #242

Merged
maximus merged 1 commit from issue-241-babel-override into main 2026-07-04 20:12:28 +00:00
Owner

Closes #241.

Change

Ajoute un overrides scopé dans package.json forçant @babel/core à ^7.29.7 sous @vitejs/plugin-react :

"overrides": { "@vitejs/plugin-react": { "@babel/core": "^7.29.7" } }

@babel/core@7.29.0 (transitif, build-only via @vitejs/plugin-react) était signalé par GHSA-4x5r-pxfx-6jf8 (arbitrary file read via sourceMappingURL, low, CVSS 3.2). npm audit fix ne peut pas le résoudre — la version est pinnée par le parent ; l'override force le patch 7.29.7 dans la range 7.x acceptée par le parent → non-breaking.

Vérification locale

  • npm audit : 1 → 0 vulnerabilities
  • @babel/core@7.29.7 overridden (une seule copie, dédupliquée) ; arbre inchangé (109 → 109 paquets, pas d'explosion contrairement à audit fix)
  • npm run build (tsc + vite) : 2599 modules
  • npm test (vitest) : 635 / 635 (37 fichiers)

Notes

  • Dev-only / build-time — aucune surface runtime (app Tauri desktop), aucun changement de comportement.
  • CHANGELOG EN + FR mis à jour sous la section Security / Sécurité [Unreleased].
  • Clôt le reliquat du sprint deps-security-2026-07 (npm audit désormais propre).

🤖 Generated with Claude Code

Closes #241. ## Change Ajoute un `overrides` scopé dans `package.json` forçant `@babel/core` à `^7.29.7` sous `@vitejs/plugin-react` : ```json "overrides": { "@vitejs/plugin-react": { "@babel/core": "^7.29.7" } } ``` `@babel/core@7.29.0` (transitif, build-only via `@vitejs/plugin-react`) était signalé par **GHSA-4x5r-pxfx-6jf8** (arbitrary file read via `sourceMappingURL`, low, CVSS 3.2). `npm audit fix` ne peut pas le résoudre — la version est pinnée par le parent ; l'override force le patch 7.29.7 dans la range 7.x acceptée par le parent → non-breaking. ## Vérification locale - `npm audit` : **1 → 0** vulnerabilities - `@babel/core@7.29.7 overridden` (une seule copie, dédupliquée) ; arbre inchangé (109 → 109 paquets, pas d'explosion contrairement à `audit fix`) - `npm run build` (tsc + vite) : ✅ 2599 modules - `npm test` (vitest) : ✅ **635 / 635** (37 fichiers) ## Notes - Dev-only / build-time — aucune surface runtime (app Tauri desktop), aucun changement de comportement. - CHANGELOG EN + FR mis à jour sous la section Security / Sécurité `[Unreleased]`. - Clôt le reliquat du sprint `deps-security-2026-07` (`npm audit` désormais propre). 🤖 Generated with [Claude Code](https://claude.com/claude-code)
maximus added the
type:security
label 2026-07-02 20:44:09 +00:00
maximus added 1 commit 2026-07-02 20:44:10 +00:00
fix(deps): scope @babel/core to 7.29.7 via override (fixes #241)
All checks were successful
PR Check / rust (pull_request) Successful in 23m2s
PR Check / frontend (pull_request) Successful in 2m30s
54ef0f0229
@babel/core@7.29.0 (pulled transitively by @vitejs/plugin-react, build-only)
was flagged by GHSA-4x5r-pxfx-6jf8 (arbitrary file read via sourceMappingURL,
low, CVSS 3.2). npm audit fix cannot resolve it — the version is pinned by the
parent — so a scoped overrides entry forces the patched 7.29.7 within the
parent's accepted 7.x range (non-breaking). npm audit now reports 0.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Author
Owner

Review adversariale — PR #242 : fix(deps): scope @babel/core to 7.29.7 via override

Verdict : APPROVE

Résumé

Override npm scopé et chirurgical, conforme exactement à la résolution prescrite dans l'issue #241. Épingle @babel/core (transitif, build-only via @vitejs/plugin-react) à 7.29.7, clôturant le dernier advisory npm audit (GHSA-4x5r-pxfx-6jf8). CI verte, les deux CHANGELOG à jour, aucun impact runtime.

Vérifications

  • Override effectif (pas un no-op) — la clé @vitejs/plugin-react correspond à la devDependency réelle (@vitejs/plugin-react@^4.7.0, variante Babel confirmée dans vite.config.ts, pas -swc). Le package-lock.json le prouve : @babel/core 7.29.0 → 7.29.7, une seule copie dédupliquée, ranges internes @babel/* alignées sur ^7.29.7.
  • Conforme à l'issue#241 prescrit littéralement "overrides": { "@vitejs/plugin-react": { "@babel/core": "^7.29.7" } } ; la PR l'implémente verbatim. Range advisory <=7.29.0 vulnérable, patché en 7.29.7 : correspond.
  • CI verte sur la PR (cible main, aucun gap de pile stackée) — PR Check / rust succès 23m2s, PR Check / frontend succès 2m30s. Le job frontend enchaîne npm run build + vitest, ce qui confirme les 635/635 et le build annoncés dans la description.
  • CHANGELOG EN + FR tous deux mis à jour sous Security / Sécurité [Unreleased], référence #241 — conforme à la règle projet (double fichier).
  • Surface runtime nulle — toutes les entrées @babel/* sont dev: true ; build-time only, cohérent avec l'app Tauri desktop (aucun serveur SSR/RSC visé par l'advisory).
  • Format — commit conventionnel fix(deps): …, fixes #241.

Note (non bloquant)

Le package-lock.json embarque du churn attendu de re-résolution npm install, au-delà de @babel/* : browserslist 4.28.1 → 4.28.4 et ses données (caniuse-lite, electron-to-chromium, node-releases, baseline-browser-mapping), plus l'hydratation des métadonnées "license". Tout est dev-only, dans les ranges, nombre de paquets inchangé (109 → 109). Bénin — build CI vert.

Aucun problème bloquant. Bon à merger.


Review générée par /pr-review (contexte adversarial, read-only).

## Review adversariale — PR #242 : `fix(deps): scope @babel/core to 7.29.7 via override` **Verdict : APPROVE** ### Résumé Override npm scopé et chirurgical, conforme exactement à la résolution prescrite dans l'issue #241. Épingle `@babel/core` (transitif, build-only via `@vitejs/plugin-react`) à `7.29.7`, clôturant le dernier advisory `npm audit` (GHSA-4x5r-pxfx-6jf8). CI verte, les deux CHANGELOG à jour, aucun impact runtime. ### Vérifications - **Override effectif (pas un no-op)** — la clé `@vitejs/plugin-react` correspond à la devDependency réelle (`@vitejs/plugin-react@^4.7.0`, variante Babel confirmée dans `vite.config.ts`, pas `-swc`). Le `package-lock.json` le prouve : `@babel/core` 7.29.0 → 7.29.7, une seule copie dédupliquée, ranges internes `@babel/*` alignées sur `^7.29.7`. - **Conforme à l'issue** — #241 prescrit littéralement `"overrides": { "@vitejs/plugin-react": { "@babel/core": "^7.29.7" } }` ; la PR l'implémente verbatim. Range advisory `<=7.29.0` vulnérable, patché en `7.29.7` : correspond. - **CI verte sur la PR** (cible `main`, aucun gap de pile stackée) — `PR Check / rust` succès 23m2s, `PR Check / frontend` succès 2m30s. Le job frontend enchaîne `npm run build` + `vitest`, ce qui confirme les 635/635 et le build annoncés dans la description. - **CHANGELOG EN + FR** tous deux mis à jour sous `Security` / `Sécurité` `[Unreleased]`, référence #241 — conforme à la règle projet (double fichier). - **Surface runtime nulle** — toutes les entrées `@babel/*` sont `dev: true` ; build-time only, cohérent avec l'app Tauri desktop (aucun serveur SSR/RSC visé par l'advisory). - **Format** — commit conventionnel `fix(deps): …`, `fixes #241`. ### Note (non bloquant) Le `package-lock.json` embarque du churn attendu de re-résolution `npm install`, au-delà de `@babel/*` : `browserslist` 4.28.1 → 4.28.4 et ses données (`caniuse-lite`, `electron-to-chromium`, `node-releases`, `baseline-browser-mapping`), plus l'hydratation des métadonnées `"license"`. Tout est dev-only, dans les ranges, nombre de paquets inchangé (109 → 109). Bénin — build CI vert. Aucun problème bloquant. Bon à merger. --- _Review générée par `/pr-review` (contexte adversarial, read-only)._
maximus merged commit 9e31f0ee5b into main 2026-07-04 20:12:28 +00:00
Sign in to join this conversation.
No reviewers
No milestone
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/Simpl-Resultat#242
No description provided.