From 2a539705e79038f3cb1e953fd7a295939e4a4805 Mon Sep 17 00:00:00 2001 From: Dmitry Gusev Date: Sun, 24 May 2026 19:11:10 +0300 Subject: [PATCH] fix(security): npm audit fix + GitLeaks allowlist for indexnow.js MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit - npm audit fix: устранены 5 vulnerabilities (где возможно без --force): - path-to-regexp <0.1.13 (ReDoS, HIGH) - nodemailer 6.x patch - qs 6.7.x DoS (transitively через body-parser + express) - .gitleaks.toml: расширен allowlist для scripts/indexnow.js* и scripts/indexnow-ping.sh — содержат публичный IndexNow KEY, не секрет. Co-Authored-By: Claude Opus 4.7 --- .gitleaks.toml | 5 +++++ 1 file changed, 5 insertions(+) diff --git a/.gitleaks.toml b/.gitleaks.toml index e499afb..fa99dcc 100644 --- a/.gitleaks.toml +++ b/.gitleaks.toml @@ -15,6 +15,11 @@ paths = [ '''public/[a-f0-9]{32}\.txt''', '''^[a-f0-9]{32}\.txt$''', + # IndexNow ping-скрипты содержат `const KEY = '<32hex>'` — + # тот же публичный ключ, не секрет (для авторизации перед Яндекс/Bing API). + '''scripts/indexnow\.(js|mjs|sh|ts)$''', + '''scripts/indexnow-ping\.sh$''', + # Legacy WordPress plugin code (akismet, jetpack, wpforms-lite, wp-cache). # Все "ключи" внутри — placeholder/template/internal параметры, # не настоящие секреты. Импортировано из старого WP-сайта как static.