1. Cypress-Accessibility-Checker 依赖链曝出高危漏洞 CVE-2020-11023,源于已弃用的 deep-diff 包
开源自动化测试工具 `cypress-accessibility-checker` 的依赖链中曝出一个活跃的高危漏洞 CVE-2020-11023,其根源指向一个已弃用且不再维护的 npm 包 `deep-diff`。该漏洞最初是针对 jQuery 报告的,但安全扫描显示,问题通过 `deep-diff` 包渗透到了 `cypress-accessibility-checker` 的依赖树中。这意味着任何使用该工具进行无障碍测试的项目,都可能在其供应链中引入已知的安全风险。 漏洞的具体触发条件是通过 Mend(前身为 WhiteSource)等软件组成分析工具进行漏洞扫描时被捕获并报错。`deep-diff` 包的 npm 页面明...