Deprecation waarnings

[aleybovich]

When installing latest solidity-coverage, I get the following warnings:

npm WARN deprecated [email protected]: Package no longer supported. Contact [email protected] for more info.
npm WARN deprecated [email protected]: 🙌  Thanks for using Babel: we recommend using babel-preset-env now: please read babeljs.io/env to update!
npm WARN deprecated [email protected]: to-iso-string has been deprecated, use @segment/to-iso-string instead.
npm WARN deprecated [email protected]: Jade has been renamed to pug, please install the latest version of pug instead of jade
npm WARN deprecated [email protected]: Please update to minimatch 3.0.2 or higher to avoid a RegExp DoS issue

[davesag]

Most of those are the result of the pinned version of [email protected] and of truffle which both use very old versions of mocha. Those versions of mocha have a number of out of date dependencies, including an out of date version of growl and debug with some serious vulnerabilities.

I've updated what I can in #151 (updated again just now)

as at 2018-05-20 npm audit reports the following:

    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ Critical      │ Command Injection                                            │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ growl                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=1.10.2                                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ solidity-parser-sc                                           │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ solidity-parser-sc > mocha > growl                           │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://nodesecurity.io/advisories/146                       │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ Critical      │ Command Injection                                            │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ growl                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=1.10.2                                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ truffle                                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ truffle > mocha > growl                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://nodesecurity.io/advisories/146                       │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ Low           │ Regular Expression Denial of Service                         │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ debug                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >= 2.6.9 < 3.0.0 || >= 3.1.0                                 │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ solidity-parser-sc                                           │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ solidity-parser-sc > mocha > debug                           │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://nodesecurity.io/advisories/534                       │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ Low           │ Regular Expression Denial of Service                         │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ debug                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >= 2.6.9 < 3.0.0 || >= 3.1.0                                 │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ truffle                                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ truffle > mocha > debug                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://nodesecurity.io/advisories/534                       │
    └───────────────┴──────────────────────────────────────────────────────────────┘

[cgewecke]

I think this is resolved. . . AFAIK npm audit is clean. We have some sec vuln warnings from Github and will address those in a separate ticket.