NPM审计修复

Question

运行npm audit我（这只是一个）温和的警告

Moderate      │ Prototype pollution
Package       │ hoek
Patched in    │ > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of │ karma
Path          | karma > log4js > loggly > request > hawk > sntp > hoek

我可以看到， hoek是业力的依赖（进一步向下）。 看看GitHub上的Karma回购，我可以看到已经提出了这个问题，但没有立即确定优先级。

这是我们现在必须接受的东西，直到他们更新了它们的依赖关系，或者我们可以告诉我们的应用程序使用更新版本的hoek并应用于所有包吗？

Answer 1

您可以从拉请求或提交中安装固定版本的依赖项。 例如

npm install github:winstonjs/node-loggly#pull/79/head

然后删除package.json中添加的行，例如"loggly": "github:winstonjs/node-loggly#pull/79/head"

在package-lock.json中搜索loggly并显示"version": "<some git url>" ，删除url并将其替换为相应的版本号，例如“1.1.1”。

Answer 2

问题是loggly很长时间没有更新，并且硬编码以request使用具有指定漏洞的hoek版本的版本。 有公开的问题 。

考虑到hoek包在这里的作用，它不太可能导致真正的安全问题。

从用户的角度来看，可以通过使用修复此依赖关系的分支来解决安全问题，例如此拉取请求 ：

"karma": "^2.0.2",
"loggly": "github:winstonjs/node-loggly#pull/79/head"

由于loggly分支版本匹配约束log4js ，此替换原始loggly具有固定一个（可能需要清除node_modules生效）。

这导致

400错误请求 - POST https://registry.npmjs.org/-/npm/v1/security/audits

npm audit错误，所以它可能应该保留原样。