Azure Static Web Apps CLI 开发工具链存在低危供应链漏洞，影响 CI/CD 环境安全

微软 Azure Static Web Apps CLI 的开发工具链中发现了已知的、低严重性的安全漏洞，增加了开发与持续集成环境的供应链攻击面。`npm audit` 报告指出，通过 `@azure/static-web-apps-cli` 和 `devcert` 引入的 `cookie` 和 `tmp` 等传递性依赖存在已知漏洞。虽然这些漏洞对直接的生产环境风险较低，但它们为攻击者利用开发人员工作站或自动化构建管道提供了潜在的入口点。

具体漏洞位于项目的 `package-lock.json` 文件中，属于开发依赖的传递链。这意味着，即使项目本身没有直接使用这些有问题的包，它们也会通过 Azure 的官方 CLI 工具被间接引入。这种模式突显了现代软件开发中一个普遍但常被忽视的风险：工具链本身已成为软件供应链中的薄弱环节。

该问题被归类为 OWASP Top 10 2021 中的 A06 类别——易受攻击和过时的组件。建议开发团队跟踪上游修复，在兼容的情况下固定或覆盖有漏洞的传递包版本，并在 CI/CD 流程中强制执行安全策略门禁，定期重新运行审计。这起事件警示，对开发工具的安全疏忽，同样可能为整个软件交付生命周期带来不可预见的风险。