那些遇到过的问题

Npm依赖项审核错误,除了最新的依赖项版本外,还更新了cloud-s4-sdk-pipeline

use*_*455 5 sap-cloud-sdk

我们切换到了cloud-s4-sdk-pipeline的最新版本(21)。新功能可以正常工作,但是除了最新的依赖版本之外,我们还会收到npm依赖审核错误。

调查结果摘要

•  High Arbitrary File Overwrite vulnerability found in dependency "tar", see https://npmjs.com/advisories/803 for details.
•  High Code Injection vulnerability found in dependency "js-yaml", see https://npmjs.com/advisories/813 for details.
•  Moderate Regular Expression Denial of Service vulnerability found in dependency "mime", see https://npmjs.com/advisories/535 for details.
•  Moderate Regular Expression Denial of Service vulnerability found in dependency "underscore.string", see https://npmjs.com/advisories/745 for details.
•  Moderate Prototype Pollution vulnerability found in dependency "lodash", see https://npmjs.com/advisories/782 for details.
•  Moderate Denial of Service vulnerability found in dependency "js-yaml", see https://npmjs.com/advisories/788 for details.
Run Code Online (Sandbox Code Playgroud)

您有类似的问题吗?有解决方案吗?

flo*_*e77 1

从 v20 到 v21 的主要变化之一是我们现在正在审核可以在您的项目中找到的所有 package.json 文件(对于 Whitesource 扫描也是如此)。

我认为您的项目就是这种情况,因此会弹出新的审计结果。

我建议您npm audit --fix在 package.json 的目录中本地执行并提交生成的 package-lock.json。如果这也不能解决您的问题,最后一个解决方案是将这些 npm 审核问题在 pipeline_config.yaml 中标记为“已审核”,如此处所述

归档时间:

查看次数:

38 次

最近记录:

6 年,4 月 前
相关归档
Jenkins的代理配置不适用于常规的管道脚本吗? 7
Npm依赖项审核错误,除了最新的依赖项版本外,还更新了cloud-s4-sdk-pipeline 5
保护使用 SAP Cloud SDK 构建的 JS 应用程序 3
我可以模拟具有自定义属性的系统吗? 3
如何使用 SAP Cloud SDK 在 Java 客户端中调用绑定函数/操作? 2
如何使用OAuth2SAMLBearerAssertion在Neo SCP到Cloud Foundry服务中设置目标? 0
难疑归档
让现有的Git分支跟踪一个远程分支? 3437
从Git中的分支中删除提交 3035
提高SQLite的每秒INSERT性能? 2880
为什么在单独的循环中元素添加比在组合循环中快得多? 2175
数据绑定如何在AngularJS中运行? 1924
使用Git下载特定标签 1892
在Python中获取列表的最后一个元素 1871
Java内部类和静态嵌套类 1691
如何将字节数组转换为十六进制字符串,反之亦然? 1313
从不同的文件夹导入文件 1186