今天,github在我的github存储库中显示了以下错误:
我们在您的一个依赖项中发现了一个潜在的安全漏洞。./package-lock.json中定义的依赖项具有已知的安全漏洞,应进行更新。
单击Review vulnerable dependency按钮时,将显示以下消息:
hoek节点模块5.0.3之前的版本存在通过“merge”修改假定不可变数据(MAID)漏洞
直到昨天,它还没有显示出这样的错误。我已经超过5天没有对这个存储库进行任何推送了。知道为什么会发生这种事吗?
发布于 2018-05-06 06:34:03
如果易受攻击的包被声明为直接项目的依赖项,则npm update
应该只工作于。但通常(就像hoek
的情况一样),漏洞会将放在那些包中,这些包的位于您的子依赖关系树中。
由于在我的示例中,我决定不更新项目的所有依赖项(通过删除和重新构建整个package-lock.json
文件),我采用了以下方法(当然,也更耗时):
在my package-lock.json
像这样:
npm r package-1 package-2 && npm i package-1@^1.2.3 package-2@^1.2.3
只有在修复并发布了易受攻击的包,并且使用的包使用loose version number open to patch or minor versions导入易受攻击的包时,此方法才有效。
发布于 2018-04-27 16:24:44
我使用:rm package-lock.json
&& npm update && npm install
。对我来说,这个更新后的4.2.1
hoek
也包含修复程序(per this comment.)
编辑:在另一个应用程序中,我运行了rm package-lock.json
和npm i hoek && npm up && npm i && npm un hoek
或npm i hoek && npm un hoek && npm up && npm i
(无法调用订单),后者更符合with this comment (from JamesSingleton)。
(rm package-lock.json
只有在它存在的情况下才会存在。)
编辑:在第三个应用中,我检查了npm outdated
,发现我必须将react-scripts-ts
从2.13.0
升级到2.15.1
。为此,我手动更新了package.json
,然后运行npm i
。一旦完成,hoek
就会更新到4.2.1.
(专门针对那个坚持/主要组件)。
Zurb编辑: My solution for a Zurb Foundation 6 Site:
我使用npm outdated
将我所有的包更新到它们的主要版本。然后我运行:
npm i hoek@latest --save && npm up hoek
npm i boom hawk sntp uncss gulp-uncss --save && npm up boom hawk sntp uncss gulp-uncss && npm un boom hawk sntp gulp-uncss uncss --save
有两个顽固不化的人:browser-sync : 2.23.7
和node-sass : 4.9.0
,都是最新版本。不要紧:提交后解决了GitHub警告。
发布于 2018-04-27 18:06:27
我使用npm update hoek && npm install hoek,包被更新到5.0.3。
在那之后,漏洞警报从我的github Repo中消失了。
https://stackoverflow.com/questions/50053991
复制相似问题