我跑的npm install时候说found 33 vulnerabilities (2 low, 31 moderate)
run `npm audit fix` to fix them, or `npm audit` for details.
但是,npm audit fix产出up to date in 11s
fixed 0 of 33 vulnerabilities in 24653 scanned packages
33 vulnerabilities required manual review and could not be updated
这是否review意味着它不应由用户修复?
当我运行npm audit它时,给我一个表的列表,类似于Update to version 4.17.5 or later.
在此示例中,链接页面的修复部分说/node_modules/browser-sync/package.json.但是,/node_modules/lodash/lodash.json有以下几行:
????????????????????????????????????????????????????????????????????????????????
? Low ? Prototype Pollution ?
????????????????????????????????????????????????????????????????????????????????
? …Github已将我的应用锁定文件中的依赖项标记为易受攻击.
要修复它,我应该将该软件包更新到更新的版本.
如果我对易受攻击的软件包没有任何控制,我该怎么做呢,因为它嵌套在依赖树中?
抱歉,如果这是一个非常基本的问题,但我似乎没有找到任何有用的.
GitHub今天给我发了一封电子邮件警告我package-lock.json文件中存在漏洞.不过,据我所知,是在生成该文件npm install的package.json.
我怎样才能找出哪个包(from package.json)链接到易受攻击的包(in package-lock.json)?
相关问题: