Fuh*_*tor 1 github npm npm-install
GitHub今天给我发了一封电子邮件警告我package-lock.json文件中存在漏洞.不过,据我所知,是在生成该文件npm install的package.json.
我怎样才能找出哪个包(from package.json)链接到易受攻击的包(in package-lock.json)?
相关问题:
我怎样才能找出哪个包(from
package.json)链接到易受攻击的包(inpackage-lock.json)?
(回答我自己的问题):易受攻击的软件包被命名growl.因此,该命令npm ls growl显示依赖于它的包:
$ npm ls growl
my-project@1.0.1 C:\some_project
`-- mocha@3.5.3
`-- growl@1.9.2
然后问题是找到使用更现代版本的那些软件包的新版本(在这种情况下是mocha).在回答这个问题时,漏洞已经在growl@1.10.0中修复(根据GitHub的漏洞分析).因此,请查看mocha的发行说明,了解哪个版本已更新为咆哮1.10.我发现:
4.0.1/2017-10-05
修复
- #3051:将Growl升级到v1.10.3以修复其对等问题(@dpogue)
更新我package.json的show "mocha": ">=4.0.1",然后重新运行,npm install然后npm ls growl现在显示一个当前非易受攻击的growl版本:
my-project@1.0.1 C:\some_project
`-- mocha@5.2.0
`-- growl@1.10.5
| 归档时间: |
|
| 查看次数: |
762 次 |
| 最近记录: |