![](/img/trans.png)
[英]Node/NPM: If I upgrade my node version, should I rebuild the package-lock file?
[英]Github says I have a Node security vulnerability in package-lock (cryptiles) but it's not installed in package.json and I'm not using it, solutions?
基本上,我有一个节点项目,最近github在我的一个依赖项中标记了一个潜在的安全漏洞。
它的版本是3.1.2版本,建议我转到版本4.1.2。
Cryptiles在我的package-lock.json
但我目前还没有在我的package.json
安装它,也没有在我的项目中的任何地方使用它。
我从来没有使用过package-lock.json,我试图在那里更改版本,但是当我运行npm install时,它会将其更改回来。 解决方案?
升级Node会解决吗? 我的一个npm模块? 我应该解雇这个,因为它没有在我的项目中使用吗? 想要确保我是安全的。
这是我的package-lock.json
带有cryptiles
的两个部分,我的package.json
既没有安装也没有安装hawk
package.json
},
"cryptiles": {
"version": "3.1.2",
"resolved": "https://registry.npmjs.org/cryptiles/-/cryptiles-3.1.2.tgz",
"integrity": "sha1-qJ+7Ig9c4l7FboxKqKT9e1sNKf4=",
"requires": {
"boom": "5.2.0"
},
和这里:
},
"hawk": {
"version": "6.0.2",
"resolved": "https://registry.npmjs.org/hawk/-/hawk-6.0.2.tgz",
"integrity": "sha512-miowhl2+U7Qle4vdLqDdPt9m09K6yZhkLDTWGoUiUzrQCn+mHHSmfJgAyGaLRZbPmTqfFFjRV1QWCW0VWUJBbQ==",
"requires": {
"boom": "4.3.1",
"cryptiles": "3.1.2",
"hoek": "4.2.1",
"sntp": "2.1.0"
},
感谢任何帮助和任何可以帮助我了解情况的人,所以这不会再发生。
发现中等严重性漏洞
运行npm audit fix
来修复它们,或者npm audit
来获取详细信息
npm ls {module name}将允许您查看依赖关系树。 更新父依赖项通常会修复传递依赖项(依赖项的依赖项)。 如果您需要强制依赖版本,本文可能会有所帮助。 https://www.npmjs.com/package/npm-force-resolutions
根据上面的一些建议,我按照依赖关系查看我安装的npm模块使用了它。 我升级了模块,它删除了依赖关系和问题
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.