[英]NPM Audit fixes
运行npm audit
我(这只是一个)温和的警告
Moderate │ Prototype pollution
Package │ hoek
Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of │ karma
Path | karma > log4js > loggly > request > hawk > sntp > hoek
我可以看到, hoek
是业力的依赖(进一步向下)。 看看GitHub上的Karma回购,我可以看到已经提出了这个问题,但没有立即确定优先级。
这是我们现在必须接受的东西,直到他们更新了它们的依赖关系,或者我们可以告诉我们的应用程序使用更新版本的hoek
并应用于所有包吗?
您可以从拉请求或提交中安装固定版本的依赖项。 例如
npm install github:winstonjs/node-loggly#pull/79/head
然后删除package.json中添加的行,例如"loggly": "github:winstonjs/node-loggly#pull/79/head"
在package-lock.json中搜索loggly并显示"version": "<some git url>"
,删除url并将其替换为相应的版本号,例如“1.1.1”。
问题是loggly
很长时间没有更新,并且硬编码以request
使用具有指定漏洞的hoek
版本的版本。 有公开的问题 。
考虑到hoek
包在这里的作用,它不太可能导致真正的安全问题。
从用户的角度来看,可以通过使用修复此依赖关系的分支来解决安全问题,例如此拉取请求 :
"karma": "^2.0.2",
"loggly": "github:winstonjs/node-loggly#pull/79/head"
由于loggly
分支版本匹配约束log4js
,此替换原始loggly
具有固定一个(可能需要清除node_modules
生效)。
这导致
400错误请求 - POST https://registry.npmjs.org/-/npm/v1/security/audits
npm audit
错误,所以它可能应该保留原样。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.