HAZAÑA: Apoyo a la Política de Seguridad-Contenido

Mmm, no estoy seguro de cómo puedo arreglarlo exactamente y a qué te refieres con '¿el uso de new Function() está en el código GrapesJS', si no hay tal cosa en el código?

Descubrí que está en los archivos dist por underscore.js método template() que usa 'new Function()'. Creo que esto dificultará reemplazar o eliminar esa dependencia para hacer cumplir un CSP sin 'evaluación insegura'.

Gracias por informar de esto, @aimeos.

Los problemas de seguridad y dependencias son importantes. El equipo de GrapesJS trabaja activamente para mantener las dependencias actualizadas.

Para ti ahora mismo:

1. Ejecutar 'npm audit fix' para ver los parches disponibles
2. Busca una versión más reciente de GrapesJS que ya haya solucionado esto
3. Si está disponible, prueba la última versión estable antes de actualizar
4. Si la vulnerabilidad es crítica, 'npm audit fix ---force' es una opción, pero prueba a fondo

Entendiendo el riesgo:

• Revisar los detalles específicos de vulnerabilidades en los Avisos de Seguridad de GitHub
• No todos los problemas de alta gravedad afectan a tu ruta de código
• Algunas vulnerabilidades solo se activan bajo condiciones específicas

Manteniéndome al día:

• Atentos a nuevos lanzamientos de GrapesJS
• Suscribirse a las notificaciones de seguridad en el repositorio
• El equipo prioriza las actualizaciones de seguridad en su ciclo de lanzamiento