chore(deps): bump qs from 6.14.0 to 6.14.2

[dependabot]

Bumps qs from 6.14.0 to 6.14.2.

Changelog

Sourced from qs's changelog.

6.14.2

• [Fix] parse: mark overflow objects for indexed notation exceeding arrayLimit (#546)
• [Fix] arrayLimit means max count, not max index, in combine/merge/parseArrayValue
• [Fix] parse: throw on arrayLimit exceeded with indexed notation when throwOnLimitExceeded is true (#529)
• [Fix] parse: enforce arrayLimit on comma-parsed values
• [Fix] parse: fix error message to reflect arrayLimit as max index; remove extraneous comments (#545)
• [Robustness] avoid .push, use void
• [readme] document that addQueryPrefix does not add ? to empty output (#418)
• [readme] clarify parseArrays and arrayLimit documentation (#543)
• [readme] replace runkit CI badge with shields.io check-runs badge
• [meta] fix changelog typo (arrayLength → arrayLimit)
• [actions] fix rebase workflow permissions

6.14.1

• [Fix] ensure arrayLimit applies to [] notation as well
• [Fix] parse: when a custom decoder returns null for a key, ignore that key
• [Refactor] parse: extract key segment splitting helper
• [meta] add threat model
• [actions] add workflow permissions
• [Tests] stringify: increase coverage
• [Dev Deps] update eslint, @ljharb/eslint-config, npmignore, es-value-fixtures, for-each, object-inspect

Commits

• bdcf0c7 v6.14.2
• 294db90 [readme] document that addQueryPrefix does not add ? to empty output
• 5c308e5 [readme] clarify parseArrays and arrayLimit documentation
• 6addf8c [Fix] parse: mark overflow objects for indexed notation exceeding arrayLimit
• cfc108f [Fix] arrayLimit means max count, not max index, in combine/merge/`pars...
• febb644 [Fix] parse: throw on arrayLimit exceeded with indexed notation when `thr...
• f6a7abf [Fix] parse: enforce arrayLimit on comma-parsed values
• fbc5206 [Fix] parse: fix error message to reflect arrayLimit as max index; remove e...
• 1b9a8b4 [actions] fix rebase workflow permissions
• 2a35775 [meta] fix changelog typo (arrayLength → arrayLimit)
• Additional commits viewable in compare view

Dependabot will resolve any conflicts with this PR as long as you don't alter it yourself. You can also trigger a rebase manually by commenting @dependabot rebase.

---

Dependabot commands and options

You can trigger Dependabot actions by commenting on this PR:

• @dependabot rebase will rebase this PR
• @dependabot recreate will recreate this PR, overwriting any edits that have been made to it
• @dependabot show <dependency name> ignore conditions will show all of the ignore conditions of the specified dependency
• @dependabot ignore this major version will close this PR and stop Dependabot creating any more for this major version (unless you reopen the PR or upgrade to it yourself)
• @dependabot ignore this minor version will close this PR and stop Dependabot creating any more for this minor version (unless you reopen the PR or upgrade to it yourself)
• @dependabot ignore this dependency will close this PR and stop Dependabot creating any more for this dependency (unless you reopen the PR or upgrade to it yourself)
  You can disable automated security fix PRs for this repo from the Security Alerts page.

[socket-security]

Review the following changes in direct dependencies. Learn more about Socket for GitHub.

Diff	Package	Supply Chain Security	Vulnerability	Quality	Maintenance	License
	react-native-builder-bob@​0.40.17
	react-native-safe-area-context@​5.6.2
	react@​19.2.0
	turbo@​2.6.3
	react-test-renderer@​19.2.0
	typescript@​5.9.3
	release-it@​19.1.0
	react-native@​0.83.0
	react-native-nitro-modules@​0.33.2

View full report

[boring-claw]

🔍 Code Review Report

检查时间: 2026-02-25 02:30 AM (Asia/Shanghai)

变更摘要:
Dependabot 自动 PR，将 qs 包从 6.14.0 升级到 6.14.2，包含数组限制相关的安全修复。

Review 意见:

✅ 安全性修复 (重要):
根据 changelog，此升级包含以下关键修复:

1. arrayLimit 修复: 修复了索引表示法超过 arrayLimit 时的溢出问题
2. 数组限制语义: 修复了 arrayLimit 表示最大数量而非最大索引的问题
3. 异常处理: 当 throwOnLimitExceeded 为 true 时，超出 arrayLimit 会正确抛出异常
4. 逗号解析: 修复了 comma 解析值上的 arrayLimit 执行问题

✅ 健壮性改进:

• 改进了错误消息，更准确反映 arrayLimit 作为最大索引的含义
• 当自定义 decoder 返回 null 时，正确忽略该 key
• 使用 void 替代 .push 提高健壮性

⚠️ 潜在影响:

1. 行为变化: arrayLimit 的语义修复可能改变某些边缘情况的解析行为
2. 错误抛出: 如果代码依赖之前静默处理的行为，现在可能会抛出异常

🔒 安全评估: 推荐合并 - 修复了数组处理相关的潜在问题

📋 建议:

• 检查项目中是否有依赖 qs 解析大型数组的代码
• 确认 arrayLimit 相关的行为变化不会影响现有功能
• 合并后运行相关模块的测试

总体评价: 这是重要的健壮性修复，建议合并前验证相关功能。

---

Reviewed by BoringClaw 🤖

[boring-claw]

🔍 Code Review Report

检查时间: 2026-02-25 03:00 CST

变更摘要: 将 qs 依赖从 6.14.0 升级至 6.14.2（安全/稳定性更新）。

Review 意见:

✅ 修复内容

根据 qs 更新日志，此版本包含以下修复：

1. arrayLimit 处理: 修复了索引表示法超过 arrayLimit 时的溢出对象标记问题
2. 错误处理: 当 throwOnLimitExceeded 为 true 时，正确处理 arrayLimit 超限错误
3. comma 解析: 确保 arrayLimit 在 comma 解析的值上得到执行
4. 错误消息: 修复错误消息以反映 arrayLimit 作为最大索引

✅ 变更分析

• 仅修改 yarn.lock 文件，版本号从 6.14.0 → 6.14.2
• checksum 更新正确
• 补丁版本更新，向后兼容

📊 总体评价

建议合并。此更新修复了查询字符串解析中的边界情况处理问题，对于使用复杂查询参数的 API 端点尤为重要。

---

Reviewed by BoringClaw 🤖

[boring-claw]

🔍 Code Review Report

检查时间: 2026-02-25 03:30 (Asia/Shanghai)

变更摘要:
Dependabot 自动 PR：将 qs 包从 6.14.0 升级到 6.14.2，包含多个安全修复。

Review 意见:

✅ 安全修复:
根据 changelog，此升级包含以下重要修复：

1. arrayLimit 安全修复: 修复了索引表示法超出 arrayLimit 时的对象溢出问题 (#546)
2. arrayLimit 语义修正: 明确 arrayLimit 表示最大数量而非最大索引
3. 异常抛出: 当 throwOnLimitExceeded 为 true 时，超出 arrayLimit 会正确抛出异常 (#529)
4. comma 解析修复: 对 comma 解析的值强制执行 arrayLimit

⚠️ 潜在影响:

1. 行为变更: arrayLimit 的语义从 "最大索引" 变为 "最大数量"，这可能影响依赖此行为的代码
2. 错误处理: 如果代码依赖于之前静默处理溢出的行为，现在可能会抛出异常

📋 建议操作:

• ⚠️ 谨慎合并 - 虽然包含安全修复，但存在行为变更风险
• 建议检查项目中使用 qs.parse() 且配置了 arrayLimit 或 throwOnLimitExceeded 的代码
• 在测试环境中验证相关功能，特别是处理查询参数的模块

---

Reviewed by BoringClaw 🤖

[boring-claw]

🔍 Code Review Report

检查时间: 2026-02-25 04:00 CST

变更摘要: 升级 qs 依赖 6.14.0 → 6.14.2

Review 意见:

✅ 安全性: 建议合并

📦 更新内容:

• qs 6.14.2 包含多项安全修复和改进:
  • 修复 parse: 标记超出 arrayLimit 的索引表示法的溢出对象
  • 修复 arrayLimit 含义：表示最大数量而非最大索引
  • 修复 parse: 当 throwOnLimitExceeded 为 true 时，超出 arrayLimit 抛出错误
  • 修复 parse: 在 comma 解析值上强制执行 arrayLimit
  • 改进错误消息以反映 arrayLimit 作为最大索引

🔍 变更分析:

• 仅修改 yarn.lock，无代码变更
• 版本升级跨越 2 个补丁版本 (6.14.0 → 6.14.2)
• 包含重要的安全修复，特别是关于数组限制的处理

⚠️ 注意事项:

• arrayLimit 行为的修复可能影响现有代码，建议检查是否有依赖旧行为的代码
• 如果使用了 throwOnLimitExceeded 选项，现在会正确抛出错误

状态: ✅ 建议合并 (建议检查相关代码是否受 arrayLimit 行为变更影响)

---

Reviewed by BoringClaw 🤖

[boring-claw]

🔍 Code Review Report

检查时间: 2026-02-25 04:30 CST

变更摘要: 升级 qs 依赖 6.14.0 → 6.14.2

Review 意见:

✅ 安全修复

此次升级包含多项安全修复和改进：

1. arrayLimit 溢出修复 - 修复索引表示法超过 arrayLimit 时的对象溢出问题
2. arrayLimit 语义修正 - 明确 arrayLimit 表示最大数量而非最大索引
3. 异常抛出增强 - 当 throwOnLimitExceeded 为 true 时，对超出 arrayLimit 的情况抛出异常
4. comma 解析修复 - 对 comma 解析的值强制执行 arrayLimit

📊 变更分析

• 仅修改 yarn.lock 中 qs 版本号
• checksum 从 a60e49bbd51c935a8a4759e7505677b122e23bf392d6535b8fc31c1e447acba2 更新为 682933a85bb4b7bd0d66e13c0a40d9e612b5e4bcc2cb9238f711a9368cd22d91654097a74fff93551e58146db282c56ac094957dfdc60ce64ea72c3c9d7779ac
• patch 版本升级，向后兼容

✅ 建议

• 合并前确认 CI 通过
• 如果项目使用 qs.parse 处理用户输入，建议增加 arrayLimit 相关测试

---

Reviewed by BoringClaw 🤖

[boring-claw]

🔍 Code Review Report

检查时间: 2026-02-25 05:00 CST

变更摘要:

• 升级 qs 从 6.14.0 到 6.14.2
• 包含多项安全修复和健壮性改进

Review 意见:

✅ 优点:

1. 安全修复 - 6.14.2 修复了 arrayLimit 相关的多个安全问题，包括溢出对象标记和异常抛出
2. 行为一致性 - 修复了 comma 解析和 combine/merge 中的 arrayLimit 处理逻辑
3. 依赖自动化 - Dependabot 自动检测并提交更新

📋 变更详情 (来自 changelog):

• 修复 parse: 标记超出 arrayLimit 的索引表示法溢出对象
• 修复 arrayLimit 在 combine/merge/parseArrayValue 中的含义（最大计数而非最大索引）
• 修复 parse: 当 throwOnLimitExceeded 为 true 时抛出异常
• 修复 parse: 对 comma 解析值强制执行 arrayLimit

⚠️ 注意事项:

• 虽然这是 patch 版本升级，但涉及 arrayLimit 行为调整，建议验证项目中使用 qs.parse 的地方是否受影响
• 如果项目使用了 throwOnLimitExceeded 选项，现在会正确抛出异常（之前可能未抛出）

总体评价: Approve ✅ 安全修复值得及时合并，建议验证相关功能后合并。

---

Reviewed by BoringClaw 🤖

[boring-claw]

🔍 Code Review Report

检查时间: 2026-02-25 05:30 AM (Asia/Shanghai)

变更摘要: 将 qs 依赖从 6.14.0 升级到 6.14.2，主要修复：

• 修复 arrayLimit 在索引表示法中的溢出问题
• 修复 combine/merge/parseArrayValue 中 arrayLimit 的处理逻辑
• 修复当 throwOnLimitExceeded 为 true 时的错误抛出
• 修复 comma 解析值的 arrayLimit 强制

Review 意见:

✅ 优点:

• 安全/稳定性更新，修复了 arrayLimit 相关的多个边界情况
• 补丁版本升级，向后兼容
• 变更仅涉及 yarn.lock 中的版本号和 checksum

⚠️ 注意事项:

• 如果项目中有依赖 qs 的 arrayLimit 功能，建议验证相关逻辑是否受影响
• 新版本对 arrayLimit 的处理更加严格，可能导致某些边缘情况的行为变化

📊 评估: 推荐合并，这是稳定性改进更新。

---

Reviewed by BoringClaw 🤖

[boring-claw]

🔍 Code Review Report

检查时间: 2026-02-25 06:00 AM (Asia/Shanghai)

变更摘要:

• 修改文件: yarn.lock (+3/-3 行)
• 类型: 依赖升级 - qs 6.14.0 → 6.14.2

Review 意见:

✅ 优点

1. Bug 修复: 修复了 arrayLimit 在多种场景下的处理问题
2. 边界情况处理: 改进了数组索引超出限制时的行为

🔒 关键修复

• 修复 arrayLimit 在 combine/merge/parseArrayValue 中的含义 (max count vs max index)
• 修复 throwOnLimitExceeded 为 true 时索引表示法超出限制的异常抛出
• 修复 comma 解析值上的 arrayLimit 强制执行

📝 总体评价

这是由 Dependabot 发起的依赖更新 PR，包含重要的 bug 修复。建议合并。

---

Reviewed by BoringClaw 🤖

[boring-claw]

🔍 Code Review Report

检查时间: 2026-02-25 06:30 AM (Asia/Shanghai)

变更摘要: 升级 qs 依赖从 6.14.0 到 6.14.2 (安全/功能更新)

Review 意见:

✅ 优点:

1. Bug 修复: 此次升级包含多个重要修复：
   • 修复 indexed notation 超过 arrayLimit 时的 overflow objects 标记问题
   • 修复 arrayLimit 语义（表示最大数量而非最大索引）
   • 修复 throwOnLimitExceeded 为 true 时超过 arrayLimit 的异常抛出
   • 修复 comma 解析值上的 arrayLimit 强制执行
2. 功能改进: 自定义 decoder 返回 null 时忽略该 key

⚠️ 注意事项:

1. 行为变更: arrayLimit 语义的变化可能影响依赖旧行为的代码，建议检查项目中是否有相关用法
2. 破坏性变更: 虽然是小版本更新，但 arrayLimit 行为的调整可能导致某些 edge case 的行为变化

📊 总体评价: 这是一个包含重要 bug 修复的更新，建议合并。但建议先检查代码库中 qs.parse 使用 arrayLimit 选项的地方，确保新行为符合预期。

---

Reviewed by BoringClaw 🤖