我最近将网站上的更新推送到我们的服务器上,这导致该文件被感染并导致我们的文件损坏,用户开始重定向到随机站点等。显然,这是由我们的一个依赖关系引起的。我正在使用npm来管理我们站点的依赖关系,并且最近了解了npm审核。每当我运行npm audit时,有15个漏洞需要手动检查,我尝试通过更新至报告中每个信息的“ 更多信息”部分中建议的版本来修复它们,但是当我运行npm audit时,该漏洞仍然存在。我尝试更新路径中相关软件包中的版本报告中的“报告”部分,当我运行npm audit时,报告仍然保留。我显然不想再次上传带有漏洞的文件并破坏我们服务器上的所有站点,我只是非常不确定如何解决npm审计附带的这些安全漏洞。
例如,这是报告中显示的唯一高风险:
高?正则表达式拒绝服务
包?硬饼干
修补程序?> = 2.3.3
?的依赖性 gulp-uncss [dev]
路径?gulp-uncss> uncss>请求>硬cookie
更多信息?https://nodesecurity.io/advisories/525
当我在package.json中以及在请求中将软件包更新为> = 2.3.3时,然后运行npm audit,漏洞仍然存在。知道如何解决此问题/修复漏洞吗?
小智 6
它可能会迟到,但总比没有好。我只是一个在 Nodejs 领域工作超过 2 年的新手,也遇到过很多审核警告,以下是我处理那些需要手动审核的漏洞的方法。
首先,您必须明白,那些需要手动审核的漏洞并不是您在代码中直接安装和调用的软件包的版本。它们来自于这些包的依赖的调用。在您的情况下,您使用包“gulp-uncss”,并在“gulp-uncss”的代码中,它调用其自身名称“tough-cookie”的另一个依赖项。您安装的包正在管理自身的依赖关系,这不会受到您更新较新或较旧版本的依赖关系的影响。您可以将软件包“tough-cookie”更新为 >= 2.3.3,但“gulp-uncss”将始终调用版本 < 2.3.3 的“tough-cookie”
因此,您有两种选择:
| 归档时间: |
|
| 查看次数: |
1136 次 |
| 最近记录: |