node.js - new - npm update




Come sbarazzarsi delle vulnerabilità "zerbate" (2)

Dovresti eseguire rm package-lock.json && npm update && npm install , se questo non risolve il problema, puoi continuare eseguendo npm ls hoek , che dovrebbe darti:

├─┬ fuse-[email protected].3.0
 └─┬ [email protected].81.0
   └─┬ [email protected].1.3
     ├─┬ [email protected].10.1
      └── [email protected].16.3
     ├── [email protected].16.3
     └─┬ [email protected].0.9
       └── [email protected].16.3
└── [email protected].0.3

Controlla la versione di hawk contro quella su npm hawk , se non corrisponde, esegui npm i hawk --save o npm i [email protected] --save , quindi dovresti anche eseguire: npm i [email protected] --save , quindi npm audit Dopo di che ho eseguito nuovamente i miei normali comandi git:

git add .
git commit -m 'whatever_message'
git push 

Quindi puoi tornare a Github, la vulnerabilità della sicurezza dovrebbe essere risolta.

Recentemente ho spinto un'applicazione GAL per Angular CLI 5 e ha indicato quanto segue:

We found a potential security vulnerability in one of your dependencies.
A dependency defined in net-incident/package-lock.json has known security vulnerabilities and should be updated.
Dependencies defined in net-incident/package-lock.json 816
hapijs / hoek Known security vulnerability in 2.16.3

Ho esaminato l'output di 'npm audit' ed eseguito i vari aggiornamenti, incluso il seguente (che non è stato suggerito):

Installa npm --save-dev [email protected]

Il pacchetto 'request' contiene 'hawk' che contiene 'hoek'. Quando guardo il pacchetto 'request' in node_modules la versione è cambiata. Ma i seguenti due aggiornamenti da 'npm audit' non sembrano fare nulla:

npm update fsevents --depth 4 npm update stringstream --depth 5

E mi rimane il seguente:

[!] 33 vulnerabilities found [12201 packages audited]
    Severity: 5 Low | 24 Moderate | 4 High
    Run `npm audit` for more detail

E molte delle vulnerabilità sono come le seguenti:

Moderate        Prototype pollution
Package         hoek
Patched in      > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of   karma
Path            karma > log4js > loggly > request > hawk > boom > hoek
More info       https://nodesecurity.io/advisories/566

Alla fine, l'applicazione non si compilava, quindi ho sostituito il pacchetto e ho bloccato i file, e ora sono tornato all'inizio. Voglio davvero risolvere i problemi di sicurezza. Come faccio a sbarazzarmi delle fastidiose vulnerabilità?


Ero paziente e hanno risolto il problema:

npm update [email protected]

dovrebbe funzionare.





npm