Sikkerhets issues for dependabot

[torjohannessen]

Beskriv feilen
Vi har i øyeblikket 34 security/dependabot for manglende oppgraderinger

Hvordan reprodusere feil
Gå på Security og dependabot og plukk fra listen over listen av opne issues.
Ta de som er merket med "High" først.

Forventet oppførsel
Det er en del sårbarheter som blir rapportert, men som kun eksisterer i dev-avhengigheter, altså havner aldri i produksjonskoden. Slike sårbarheter regnes som false positives og trengs i utgangspunktet ikke fikses:

• cross-spawn
• rollup
• ws
• ip
• webpack-dev-middleware
• json5
• loader-utils
• nanoid
• webpack
• ejs
• tar
• postcss

Flere utdaterte avhengigheter dras inn i prosjektet på grunn av react-scripts, som ikke har blitt oppdatert i over 2 år. Det kan være lurt å bytte den ut med et alternativ. Løses i #647.

Alle "ekte" sårbarheter skal fikses så lenge det finnes en nyere versjon av pakken:

• path-to-regexp
• braces (for det meste i "dev", men brukes også av http-proxy-middleware)
• semver (brukes av @azure/identity)
• minimatch (brukes av exceljs)
• express
• follow-redirects (axios, http-proxy-middleware)
• cookie (react-router, express)
• serve-static (express)
• send (express)

Ekstra kontekst
Ingen