能不能从新的版本中将对IP这个包的引用去除掉？

[Harvey1976]

ip这个包有CVE，但是owner疏于维护，很久没有更新了

我们的产品用了egg 的框架，但是因为这个IP包的问题，在release时遇到很多麻烦。看了一下IP包的功能很单一，能否将这种依赖去掉。不要妨碍我们继续使用egg和egg-security

indutny/node-ip#144

[fengmk2]

我了解的信息是我们并没有受这个库的安全漏洞影响。

[Harvey1976]

但我看到egg-security这个项目的package.json里有ip这个package的。
ip这个库是有cve的，但是现在他们一直不release新版本，我看下来我们项目的引用树是有引用IP的。
我们是个EGG的项目，用了egg-security，所以客户在用trivy之类的东西扫描时，总是发现这个问题。

[Harvey1976]

"dependencies": {
"csrf": "^3.0.6",
"delegates": "^1.0.0",
"egg-path-matching": "^1.0.0",
"escape-html": "^1.0.3",
"extend": "^3.0.1",
"ip": "^2.0.1", 《《《《《《《《《《《《《《《《《《《《 就是这个
"koa-compose": "^4.1.0",
"matcher": "^4.0.0",
"methods": "^1.1.2",
"nanoid": "^3.3.6",
"platform": "^1.3.4",
"statuses": "^2.0.1",
"type-is": "^1.6.15",
"xss": "^1.0.3"
},

[fengmk2]

嗯，我参考 indutny/node-ip#150 换一个库看看。

[fengmk2]

@Harvey1976 好了

[Harvey1976]

感谢