fix: security update

[pandigresik]

Pull Request: Update Security Dependencies

Deskripsi Singkat

Update dependency keamanan pada package NPM dan PHP untuk memperbaiki kerentanan yang terdeteksi oleh npm audit dan composer audit.

What & Why

• Axios: Update dari ^0.30 ke ^1.16.1 - memperbaiki kerentanan keamanan dan mendapatkan fitur terbaru termasuk HTTPS proxy support
• Laravel Mix: Penyesuaian versi dari ^6.0.6 ke ^6.0.3 untuk kompatibilitas dengan dependency tree yang lebih aman
• PhpSpreadsheet: Update dari 1.30.2 ke 1.30.4 - perbaikan bug dan keamanan
• Berbagai dependency transitive: Update untuk memperbaiki kerentanan yang teridentifikasi

Perubahan yang Dilakukan

1. package.json

Dependency	Sebelum	Sesudah	Alasan
axios	^0.30	^1.16.1	Security update, HTTPS proxy support
laravel-mix	^6.0.6	^6.0.3	Kompatibilitas dependency tree

2. package-lock.json - Dependency Updates

Package	Sebelum	Sesudah	Catatan
axios	0.30.3	1.16.1	Major version update
lodash	4.17.23	4.18.1	Security patch
postcss	8.5.8	8.5.14	Security & bug fixes
follow-redirects	1.15.11	1.16.0	Security fix
qs	6.15.0	6.15.2	Security fix
ws	8.19.0	8.20.1	Security fix
webpack-dev-server	5.2.3	5.2.4	Security fix
path-to-regexp	0.1.12	0.1.13	Security fix
fast-uri	3.1.0	3.1.2	Bug fix
jsonfile	6.2.0	6.2.1	Bug fix
call-bind	1.0.8	1.0.9	Security fix
brace-expansion	1.1.12	1.1.14	Bug fix
@babel/plugin-transform-modules-systemjs	7.29.0	7.29.4	Bug fix
proxy-from-env	1.1.0	2.1.0	Major update, required by axios 1.x

New dependencies added:

• agent-base@6.0.2 - Required by https-proxy-agent
• https-proxy-agent@5.0.1 - Required by axios 1.x for proxy support

3. composer.lock - PHP Dependency Updates

Package	Sebelum	Sesudah	Alasan
phpoffice/phpspreadsheet	1.30.2	1.30.4	Security & bug fixes

Alasan Perubahan

1. Keamanan: Multiple vulnerability fixes pada dependency JavaScript yang digunakan dalam build process
2. Kompatibilitas: Axios 1.x memerlukan proxy-from-env 2.x dan menambahkan https-proxy-agent
3. Stabilitas: Update bug fixes pada berbagai package transitive
4. Best Practice: Menjaga dependency tetap update untuk menghindari akumulasi technical debt

Dampak Perubahan

Dampak Positif

• ✅ Kerentanan keamanan pada dependency build tools diperbaiki
• ✅ Axios 1.x memiliki API yang lebih stabil dan fitur lebih lengkap
• ✅ PhpSpreadsheet mendapatkan perbaikan bug terbaru

Dampak yang Perlu Diperhatikan

• ⚠️ Axios 0.x → 1.x adalah major version update, namun karena hanya digunakan untuk build process (laravel-mix), dampak minimal
• ⚠️ laravel-mix versi diturunkan dari ^6.0.6 ke ^6.0.3 untuk menjaga kompatibilitas - perlu verifikasi build tetap berjalan
• ⚠️ elliptic vulnerability (CVE-2025-14505) masih ada karena belum ada patch upstream - low severity, build-time only

Tidak Berdampak Pada

• ❌ Runtime application code (semua perubahan di devDependencies)
• ❌ Production dependencies (composer.lock hanya update PhpSpreadsheet)
• ❌ Database atau konfigurasi sistem

Steps to Reproduce / Testing

1. Verifikasi NPM Audit

npm audit

Pastikan tidak ada vulnerability high/critical yang tersisa.

2. Verifikasi Build Process

npm install
npm run prod

Pastikan asset compilation berjalan tanpa error.

3. Verifikasi PHP Dependencies

composer install

Pastikan semua PHP dependencies terinstall dengan benar.

4. Test Aplikasi

• Jalankan test suite: php artisan test
• Jalankan E2E tests: npm run test:e2e
• Verifikasi halaman web tetap berfungsi normal
• Test fitur yang menggunakan Excel export/import (PhpSpreadsheet)

Testing Checklist

• npm install berhasil tanpa error
• npm run prod berhasil compile assets
• composer install berhasil tanpa error
• PHPUnit tests passing (php artisan test)
• E2E tests passing (npm run test:e2e)
• Export Excel berfungsi (test PhpSpreadsheet)
• Import Excel berfungsi (test PhpSpreadsheet)
• Halaman web load dengan benar (CSS/JS tercompile)
• Tidak ada error di browser console
• npm audit menunjukkan 0 high/critical vulnerabilities

Screenshots

Catatan Tambahan

• Semua perubahan bersifat non-breaking untuk production
• Perubahan hanya pada devDependencies dan lock files
• Build process perlu di-verify setelah merge untuk memastikan kompatibilitas