Tob*_*eil 5 security npm vue.js vue-cli
我刚刚尝试使用@vue/cli 4.3.1Ubuntu 19.10 的全新安装创建一个新项目,npm 6.14.4. 当我cd进入项目并运行时npm install,我得到以下信息:
found 1 high severity vulnerability
run `npm audit fix` to fix them, or `npm audit` for details
运行npm audit fix产品
fixed 0 of 1 vulnerability in 1285 scanned packages
1 vulnerability required manual review and could not be updated
运行后npm audit,我得到
????????????????????????????????????????????????????????????????????????????????
? High ? Denial of Service ?
????????????????????????????????????????????????????????????????????????????????
? Package ? http-proxy ?
????????????????????????????????????????????????????????????????????????????????
? Patched in ? No patch available ?
????????????????????????????????????????????????????????????????????????????????
? Dependency of ? @vue/cli-service [dev] ?
????????????????????????????????????????????????????????????????????????????????
? Path ? @vue/cli-service > webpack-dev-server > ?
? ? http-proxy-middleware > http-proxy ?
????????????????????????????????????????????????????????????????????????????????
? More info ? https://npmjs.com/advisories/1486 ?
????????????????????????????????????????????????????????????????????????????????
这是预期的吗?普通的?有可能修复吗?让我担心的是,这种情况发生在没有安装任何恶意软件的干净环境中,但我也不是 npm 专家......我应该在这里做什么?
小智 6
我正在建立一个新的 Vue 项目并遇到了同样的问题。我能够在 Github Vue/Vue-cli 上找到他们解决问题的帖子:
https://github.com/vuejs/vue-cli/issues/5489#issuecomment-629326414
那个帖子说他们正在跟踪这个问题,但作为一个说明:
注意:由于它仅用于本地开发服务器,因此它不是 Vue CLI 项目中的实际安全漏洞。如果 @vue/cli-service 是您项目中此依赖项的唯一来源,请随意忽略它。
所以,我暂时先忽略了它。我希望当他们更新 NPM 包时,它将使用更新的 http-proxy 来解决这个问题。
根据跟踪器本身,它表示它已在 http-proxy 版本 1.18.1 中修复。
| 归档时间: |
|
| 查看次数: |
4775 次 |
| 最近记录: |