[英]Node/NPM: If I upgrade my node version, should I rebuild the package-lock file?
[英]Github says I have a Node security vulnerability in package-lock (cryptiles) but it's not installed in package.json and I'm not using it, solutions?
基本上,我有一個節點項目,最近github在我的一個依賴項中標記了一個潛在的安全漏洞。
它的版本是3.1.2版本,建議我轉到版本4.1.2。
Cryptiles在我的package-lock.json
但我目前還沒有在我的package.json
安裝它,也沒有在我的項目中的任何地方使用它。
我從來沒有使用過package-lock.json,我試圖在那里更改版本,但是當我運行npm install時,它會將其更改回來。 解決方案?
升級Node會解決嗎? 我的一個npm模塊? 我應該解雇這個,因為它沒有在我的項目中使用嗎? 想要確保我是安全的。
這是我的package-lock.json
帶有cryptiles
的兩個部分,我的package.json
既沒有安裝也沒有安裝hawk
package.json
},
"cryptiles": {
"version": "3.1.2",
"resolved": "https://registry.npmjs.org/cryptiles/-/cryptiles-3.1.2.tgz",
"integrity": "sha1-qJ+7Ig9c4l7FboxKqKT9e1sNKf4=",
"requires": {
"boom": "5.2.0"
},
和這里:
},
"hawk": {
"version": "6.0.2",
"resolved": "https://registry.npmjs.org/hawk/-/hawk-6.0.2.tgz",
"integrity": "sha512-miowhl2+U7Qle4vdLqDdPt9m09K6yZhkLDTWGoUiUzrQCn+mHHSmfJgAyGaLRZbPmTqfFFjRV1QWCW0VWUJBbQ==",
"requires": {
"boom": "4.3.1",
"cryptiles": "3.1.2",
"hoek": "4.2.1",
"sntp": "2.1.0"
},
感謝任何幫助和任何可以幫助我了解情況的人,所以這不會再發生。
發現中等嚴重性漏洞
運行npm audit fix
來修復它們,或者npm audit
來獲取詳細信息
npm ls {module name}將允許您查看依賴關系樹。 更新父依賴項通常會修復傳遞依賴項(依賴項的依賴項)。 如果您需要強制依賴版本,本文可能會有所幫助。 https://www.npmjs.com/package/npm-force-resolutions
根據上面的一些建議,我按照依賴關系查看我安裝的npm模塊使用了它。 我升級了模塊,它刪除了依賴關系和問題
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.