TypeScript

4.3.0

YAML-parsing is nu standaard veilig

De upgrade naar js-yaml 4 maakt elke YAML-load safe-by-default, zodat geparste bestanden geen custom types meer kunnen instantiëren.

Safe-by-default YAML

De stack draait nu op js-yaml 4. In versie 3 was de standaard load-functie de onveilige variant, die bij het parsen van een YAML-bestand custom types kon instantiëren. Dat is een bekend risico zodra input niet volledig te vertrouwen is.

In versie 4 is load standaard veilig: alleen reguliere YAML-types worden geaccepteerd, uitvoerbare of onbekende types worden geweigerd. Twee plekken die configuratie- en metadatabestanden inlezen, parsen daardoor nu automatisch veilig, zonder extra aanpassingen in de aanroepende code.

Dat verkleint het aanvalsoppervlak van alles wat YAML inleest. Het voorkomt bovendien dat toekomstige code per ongeluk terugvalt op onveilig parsen, omdat de veilige variant nu simpelweg de default is.