Cypress-Accessibility-Checker 依赖链曝出高危漏洞 CVE-2020-11023，源于已弃用的 deep-diff 包

开源自动化测试工具 `cypress-accessibility-checker` 的依赖链中曝出一个活跃的高危漏洞 CVE-2020-11023，其根源指向一个已弃用且不再维护的 npm 包 `deep-diff`。该漏洞最初是针对 jQuery 报告的，但安全扫描显示，问题通过 `deep-diff` 包渗透到了 `cypress-accessibility-checker` 的依赖树中。这意味着任何使用该工具进行无障碍测试的项目，都可能在其供应链中引入已知的安全风险。

漏洞的具体触发条件是通过 Mend（前身为 WhiteSource）等软件组成分析工具进行漏洞扫描时被捕获并报错。`deep-diff` 包的 npm 页面明确标记其已“弃用”且“不再受支持”，这加剧了风险。项目维护者或用户若未主动更新或替换此依赖，其构建管道和最终应用将暴露于潜在的攻击面之下。

此事件凸显了开源供应链安全的典型脆弱性：一个底层、被遗忘的依赖包可能成为整个工具链的致命弱点。对于依赖 `cypress-accessibility-checker` 进行合规性测试的开发团队而言，这带来了直接的安全与合规压力。他们需要立即评估项目依赖，并寻找替代方案或安全补丁，以缓解因使用已终止支持的组件而带来的风险。