fix(security): npm audit fix + GitLeaks allowlist for indexnow.js
- npm audit fix: устранены 5 vulnerabilities (где возможно без --force): - path-to-regexp <0.1.13 (ReDoS, HIGH) - nodemailer 6.x patch - qs 6.7.x DoS (transitively через body-parser + express) - .gitleaks.toml: расширен allowlist для scripts/indexnow.js* и scripts/indexnow-ping.sh — содержат публичный IndexNow KEY, не секрет. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
This commit is contained in:
@@ -15,6 +15,11 @@ paths = [
|
||||
'''public/[a-f0-9]{32}\.txt''',
|
||||
'''^[a-f0-9]{32}\.txt$''',
|
||||
|
||||
# IndexNow ping-скрипты содержат `const KEY = '<32hex>'` —
|
||||
# тот же публичный ключ, не секрет (для авторизации перед Яндекс/Bing API).
|
||||
'''scripts/indexnow\.(js|mjs|sh|ts)$''',
|
||||
'''scripts/indexnow-ping\.sh$''',
|
||||
|
||||
# Legacy WordPress plugin code (akismet, jetpack, wpforms-lite, wp-cache).
|
||||
# Все "ключи" внутри — placeholder/template/internal параметры,
|
||||
# не настоящие секреты. Импортировано из старого WP-сайта как static.
|
||||
|
||||
Reference in New Issue
Block a user