那些遇到过的问题

运行建议的命令不会修复NPM漏洞

Ki *_*Jéy 18 fsevents node.js npm npm-audit

在我的项目中每次安装新的NPM模块后,我收到以下错误: 

[!] 40 vulnerabilities found - Packages audited: 5840 (0 dev, 299 optional)
    Severity: 8 Low | 24 Moderate | 8 High
Run Code Online (Sandbox Code Playgroud)

然后我运行npm audit并获取40个漏洞中的每个漏洞的详细信息,例如:

# Run  npm install npm@6.0.1  to resolve 22 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
????????????????????????????????????????????????????????????????????????????????
? Moderate      ? Prototype pollution                                          ?
????????????????????????????????????????????????????????????????????????????????
? Package       ? hoek                                                         ?
????????????????????????????????????????????????????????????????????????????????
? Dependency of ? npm                                                          ?
????????????????????????????????????????????????????????????????????????????????
? Path          ? npm > libcipm > npm-lifecycle > node-gyp > request > hawk >  ?
?               ? boom > hoek                                                  ?
????????????????????????????????????????????????????????????????????????????????
? More info     ? https://nodesecurity.io/advisories/566                       ?
????????????????????????????????????????????????????????????????????????????????
Run Code Online (Sandbox Code Playgroud)

或这个 :

# Run  npm update fsevents --depth 2  to resolve 3 vulnerabilities
????????????????????????????????????????????????????????????????????????????????
? Low           ? Regular Expression Denial of Service                         ?
????????????????????????????????????????????????????????????????????????????????
? Package       ? debug                                                        ?
????????????????????????????????????????????????????????????????????????????????
? Dependency of ? chokidar                                                     ?
????????????????????????????????????????????????????????????????????????????????
? Path          ? chokidar > fsevents > node-pre-gyp > tar-pack > debug        ?
????????????????????????????????????????????????????????????????????????????????
? More info     ? https://nodesecurity.io/advisories/534                       ?
????????????????????????????????????????????????????????????????????????????????
Run Code Online (Sandbox Code Playgroud)

所以我跑npm install npm@6.0.1(虽然我已经有6.0.1)然后npm update fsevents --depth 2但是之后我重新运行npm audit并且没有任何改变,我仍然有相同的40个漏洞,其中一些非常可怕.我该怎么办 ?

小智 6

这在MacOS上对我有用:

  • 将NPM更新到新的6.1.0.它引入了'npm audit fix'命令,这里有更多信息.
  • 运行'npm audit fix'.

当您再次运行'npm audit'时,剩下的唯一漏洞应该是"手动审核"问题.

归档时间:

查看次数:

5767 次

最近记录:

7 年,3 月 前
相关归档
Node.js Mongoose.js字符串到ObjectId函数 147
没有找到karma插件依赖项 31
npm 安装错误 ENOTEMPTY: 目录不为空, 22
如何从控制台上的post请求打印数据 20
在角度库项目package.json文件中保持版本号同步 18
我如何修复路由以查找node.js中子文件夹内的视图 13
NODE_OPTIONS 中不允许 Laravel TALL npm run dev --openssl-legacy-provider 6
即使使用插入符号 (^),PNPM 安装也不会更新次要版本或补丁版本 5
安装 npm 整数时出现 node-gyp 错误 4
如何将代码和单元测试传递给npm测试? 1
难疑归档
RESTful编程究竟是什么? 3917
将本地存储库分支重置为远程存储库HEAD 3488
如何列出目录的所有文件? 3474
如何将列表拆分为大小均匀的块? 2068
如何从Java中的字符串值获取枚举值? 1890
如何从git repo中删除文件? 1795
如何在JavaScript中将数字格式化为美元货币字符串? 1711
如何在回调中访问正确的`this`? 1309
如何在JavaScript正则表达式中访问匹配的组? 1277
如何使用INER JOIN与SQL Server删除? 1181