[英]Github says I have a Node security vulnerability in package-lock (cryptiles) but it's not installed in package.json and I'm not using it, solutions?
基本上,我有一個節點項目,最近github在我的一個依賴項中標記了一個潛在的安全漏洞。
它的版本是3.1.2版本,建議我轉到版本4.1.2。
Cryptiles在我的package-lock.json但我目前還沒有在我的package.json安裝它,也沒有在我的項目中的任何地方使用它。
我從來沒有使用過package-lock.json,我試圖在那里更改版本,但是當我運行npm install時,它會將其更改回來。 解決方案?
升級Node會解決嗎? 我的一個npm模塊? 我應該解雇這個,因為它沒有在我的項目中使用嗎? 想要確保我是安全的。
這是我的package-lock.json帶有cryptiles的兩個部分,我的package.json既沒有安裝也沒有安裝hawk package.json
},
"cryptiles": {
"version": "3.1.2",
"resolved": "https://registry.npmjs.org/cryptiles/-/cryptiles-3.1.2.tgz",
"integrity": "sha1-qJ+7Ig9c4l7FboxKqKT9e1sNKf4=",
"requires": {
"boom": "5.2.0"
},
和這里:
},
"hawk": {
"version": "6.0.2",
"resolved": "https://registry.npmjs.org/hawk/-/hawk-6.0.2.tgz",
"integrity": "sha512-miowhl2+U7Qle4vdLqDdPt9m09K6yZhkLDTWGoUiUzrQCn+mHHSmfJgAyGaLRZbPmTqfFFjRV1QWCW0VWUJBbQ==",
"requires": {
"boom": "4.3.1",
"cryptiles": "3.1.2",
"hoek": "4.2.1",
"sntp": "2.1.0"
},
感謝任何幫助和任何可以幫助我了解情況的人,所以這不會再發生。
發現中等嚴重性漏洞
運行npm audit fix來修復它們,或者npm audit來獲取詳細信息
npm ls {module name}將允許您查看依賴關系樹。 更新父依賴項通常會修復傳遞依賴項(依賴項的依賴項)。 如果您需要強制依賴版本,本文可能會有所幫助。 https://www.npmjs.com/package/npm-force-resolutions
根據上面的一些建議,我按照依賴關系查看我安裝的npm模塊使用了它。 我升級了模塊,它刪除了依賴關系和問題
Node/NPM:如果我升級我的節點版本,我應該重建包鎖定文件嗎?
[英]Node/NPM: If I upgrade my node version, should I rebuild the package-lock file?
即使我的 package.json 和 node_modules 文件夾中有它們,我也得到了未定義的包
[英]I'm getting undefined packages even though I have them in my package.json and node_modules folder
我可以使用另一個節點模塊的package.json中存在的腳本別名嗎?
[英]Can I use a script alias existing in another node module's package.json?
為什么 package-lock.json 與 package.json 有不同的列出的依賴關系?
[英]Why does package-lock.json have different listed dependencies to package.json?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.