github - প্যাকেজ-লক.জসনে সংজ্ঞায়িত নির্ভরতার মধ্যে সম্ভাব্য সুরক্ষা দুর্বলতা ঠিক করার উপযুক্ত উপায়




npm package-lock.json (6)

গিথুব আমার একটি সংগ্রহস্থলটিতে এই ত্রুটিটি দিয়েছেন।

We found a potential security vulnerability in one of your dependencies.
A dependency defined in ./package-lock.json has known security vulnerabilities 
and should be updated.

নির্ভরতা আমাদের package.json ফাইলে সংজ্ঞায়িত করা হয় না। আমার বোঝার জন্য package-lock.json ফাইলটি মুছে ফেলা এবং এটি পুনরায় তৈরি করা ভাল অনুশীলন নয়। তবে আমি এই সমস্যাটি সমাধানের অন্য কোনও উপায় দেখতে পাচ্ছি না। যদি আমি এই সুরক্ষা দুর্বলতাটি খারিজ করি তবে কয়েক দিন পরে এটি আবার উপস্থিত হবে। কোন ধারনা? ধন্যবাদ!


আমার বোঝার জন্য প্যাকেজ-লক.জসন ফাইলটি মুছে ফেলা এবং এটি পুনরায় তৈরি করা ভাল অনুশীলন নয়।

তবুও, এই উদাহরণস্বরূপ সাধারণত এটি করা হয়।
উদাহরণস্বরূপ দেখুন কৌণিক / কৌণিক-ক্লিপ ইস্যু 8534 , যা পিআর 8535 দ্বারা সমাধান করা হয়েছে।
এটি তার package-lock.json আপডেট করার জন্য frees-io/freestyle-opscenter-webclient মতো নির্ভরশীল প্রকল্পকে নেতৃত্ব package-lock.json : পিআর 31


সুরক্ষিত দুর্বলতাগুলি জানা এবং আপডেট করা উচিত।

23 শে মে, 2019 থেকে আপনার এখন " Dependabot: স্বয়ংক্রিয় সুরক্ষা সংশোধন "

দেপেনডাবোটের সংহতকরণের মাধ্যমে আমরা সর্বজনীন বিটা হিসাবে স্বয়ংক্রিয় সুরক্ষা ফিক্সগুলি প্রকাশ করেছি।

স্বয়ংক্রিয় সুরক্ষা ফিক্সগুলি সুরক্ষা দুর্বলতাগুলি ফিক্স করার জন্য গিটহাবের দ্বারা উত্পন্ন উত্সাহগুলির অনুরোধগুলি।
তারা কর্মপ্রবাহের এক ক্লান্তিকর অংশটি স্বয়ংক্রিয় করে এবং বিকাশকারীদের পক্ষে তাদের নির্ভরতা আপ টু ডেট রাখা সহজ করে তোলে।

" স্বয়ংক্রিয় সুরক্ষা ফিক্সগুলি কনফিগার করা" এ আরও দেখুন

দ্রষ্টব্য: স্বয়ংক্রিয় সুরক্ষা ফিক্সগুলি বিটাতে উপলব্ধ এবং পরিবর্তিত হতে পারে।

সুরক্ষা সতর্কতা এবং নির্ভরতা গ্রাফ ব্যবহার করে এমন কোনও সংগ্রহস্থলের জন্য আপনি স্বয়ংক্রিয় সুরক্ষা ফিক্স সক্ষম করতে পারেন।
আমরা 2019 সালের মেতে শুরু হওয়া পরবর্তী কয়েকটি মাসে সুরক্ষা সতর্কতা এবং নির্ভরতা গ্রাফ ব্যবহার করে এমন প্রতিটি সংগ্রহস্থলে স্বয়ংক্রিয়ভাবে সুরক্ষা ফিক্সগুলি সক্ষম করব।


আপনার সমস্যাযুক্ত প্যাকেজের নাম সনাক্ত করার চেষ্টা করা উচিত এবং তারপরে চালানো উচিত

npm install package-name

অবশ্যই প্যাকেজ-নাম প্রতিস্থাপন।

এটি প্যাকেজের সর্বশেষতম সংস্করণ ইনস্টল করবে এবং প্রায়শই সর্বশেষতম সংস্করণটি সুরক্ষা সমস্যার সমাধান করেছে। সংস্করণে আপনার যদি কোনও বাধা থাকে (যেমন: 1.2), আপনি সর্বদা চেষ্টা করতে পারেন:

npm install [email protected]^1.2

এবং সর্বশেষ প্যাচ সংস্করণ ইনস্টল করা হবে

নতুন: এখন, এনপিএম @ 6 দিয়ে আপনি সরাসরি চালাতে পারবেন

npm audit fix

এটি আমার পক্ষে কাজ করে। আপনার সমস্ত নির্ভরতা আনইনস্টল করুন এবং এটি আবার ইনস্টল করুন

উদাহরণ স্বরূপ

প্যাকেজ.জসন থেকে আপনার নির্ভরতার তালিকা দেখুন

 { "name": "ebook-saler", "version": "1.0.0", "description": "App for selling ebooks", "main": "app.js", "scripts": { "start": "node app.js" }, "author": "Md Shayon", "license": "ISC", "dependencies": { "body-parser": "^1.19.0", "express": "^4.17.1", "express-handlebars": "^3.1.0", "hoek": "^6.1.3", "stripe": "^7.5.0" } } 

এর জন্য আদেশটি অনুসরণ করুন

 npm uninstall body-parser express express-handlebars hoek stripe npm install body-parser express express-handlebars hoek stripe git commit -m "updated" git push 


লোডাশ সুরক্ষা দুর্বলতার সাথে আমার একই সমস্যা ছিল, একটি প্রকল্পে আমি সুতা দিয়ে তৈরি করছিলাম। গিথুব এটিকে সুরক্ষা উদ্বেগ হিসাবে চিহ্নিত করেছেন।

আমি উপরে @rileymanda থেকে উত্তরটি চেষ্টা করে টার্মিনালটি ব্যবহার করে: সিডি প্রকল্পে, তারপরে npm ls lodash

এটি উন্মোচিত হয়েছে যে আমার ক্ষেত্রে ত্রুটিটি প্রতিক্রিয়া-স্ক্রিপ্টগুলিতে ছিল । প্রতিক্রিয়া-স্ক্রিপ্টগুলি এবং লোড্যাশের সমস্যাগুলির জন্য দ্রুত গুগল আবিষ্কার করে যে এটি একটি পরিচিত সমস্যা।

আমি সুতার মাধ্যমে ঠিক করার জন্য বিভিন্ন জিনিস চেষ্টা করেছিলাম - সব কিছুই কোনও সাফল্য নয়। npm ls lodash এখনও ব্যবহারে লোডাশের দুর্বল সংস্করণ দেখিয়েছে।

এনটিএম-র উন্নতি সম্পর্কে ম্যাট টার্নবুলের ব্লগটি পড়ে আমি সুতা থেকে এনপিএম এ চলেছি। ( yarn.lock মোছা। মোছা, মোছা। / ./node_modulesnpm install চালান)। npm ls lodash এখন সর্বশেষতম নির্ভরতা সংস্করণগুলি ব্যবহৃত হচ্ছে - হুররে! গিথুবে প্রতিশ্রুতিবদ্ধ, এবং দুর্বলতা যে চলে গেছে তা এখন খুশি।

দেখে মনে হচ্ছে সুতা এ জাতীয় সমস্যাগুলি অনিচ্ছায়িত করতে লড়াই করছে (বা উদ্দেশ্য নয়)।

যদি আপনি সুতা দিয়ে তৈরি করার সময় এই সমস্যাটি পেয়ে থাকেন, তবে [পিছনে] এনপিএম এ স্যুইচ করার চেষ্টা করুন!