Contexte
npm audit (arbre dev) signale esbuild ≤ 0.24.2 (GHSA-67mh-4wv8-2f99), tiré par drizzle-kit → @esbuild-kit/esm-loader (déprécié, fusionné dans tsx).
La gate CI utilise --omit=dev, donc la production n'est pas concernée ; l'advisory vise le serveur de dev d'esbuild, non atteignable via le simple chargement de drizzle.config.ts.
Proposition
Suivre l'upstream drizzle-kit (abandon de @esbuild-kit). ⚠️ Un override esbuild scopé casse la résolution cross-plateforme du lockfile (deps optionnelles @emnapi élaguées → npm ci échoue sous Linux) — à éviter.
Critères d'acceptation
Contexte
npm audit(arbre dev) signale esbuild ≤ 0.24.2 (GHSA-67mh-4wv8-2f99), tiré pardrizzle-kit→@esbuild-kit/esm-loader(déprécié, fusionné danstsx).La gate CI utilise
--omit=dev, donc la production n'est pas concernée ; l'advisory vise le serveur de dev d'esbuild, non atteignable via le simple chargement dedrizzle.config.ts.Proposition
Suivre l'upstream⚠️ Un override
drizzle-kit(abandon de@esbuild-kit).esbuildscopé casse la résolution cross-plateforme du lockfile (deps optionnelles@emnapiélaguées →npm ciéchoue sous Linux) — à éviter.Critères d'acceptation
npm auditcomplet à 0 une fois l'upstream corrigé.