背景
#216 中记录 promo-openless-v2 的 npm audit 报告了 Remotion 依赖链里的 moderate 漏洞。这个 issue 只跟踪 promo-openless-v2 依赖漏洞复查和升级。
现象
当时的审计记录:
npm audit --audit-level=moderate in promo-openless-v2 报 4 个 moderate- 链路:
postcss <8.5.10(GHSA-qx2v-qp2m-jg93)经 @remotion/bundler / @remotion/cli / @remotion/studio-server 引入
影响
promo 项目不是主应用运行时,但它仍属于仓库构建/内容生产工具链。依赖漏洞可能影响:
- 本地 Remotion studio/render 流程
- CI 或未来自动化渲染环境
- 开发机供应链风险
建议修复
- 升级 Remotion 相关依赖到包含安全修复的版本。
- 执行
npm audit --audit-level=moderate 复查。
- 执行
npm run check,必要时跑一次 render smoke。
验收标准
关联
背景
#216 中记录
promo-openless-v2的 npm audit 报告了 Remotion 依赖链里的 moderate 漏洞。这个 issue 只跟踪 promo-openless-v2 依赖漏洞复查和升级。现象
当时的审计记录:
npm audit --audit-level=moderateinpromo-openless-v2报 4 个 moderatepostcss <8.5.10(GHSA-qx2v-qp2m-jg93)经@remotion/bundler/@remotion/cli/@remotion/studio-server引入影响
promo 项目不是主应用运行时,但它仍属于仓库构建/内容生产工具链。依赖漏洞可能影响:
建议修复
npm audit --audit-level=moderate复查。npm run check,必要时跑一次 render smoke。验收标准
promo-openless-v2的 lockfile 更新到安全版本。npm audit --audit-level=moderate不再报告该 postcss 链路。npm run check通过。关联