我刚从NPM安装了Flickity,在运行npm audit
后得到了一份NPM审计安全报告,报告中指出我在包tar上的任意文件覆盖方面有一个高漏洞问题,这是节点-sass的一个依赖项,正如你在这里看到的:
High......................... Arbitrary File Overwrite
Package...................... tar
Patched in................... >=4.4.2
Dependency of................ node-sass [dev]
Path......................... node-sass > node-gyp > tar
More info.................... https://npmjs.com/advisories/803
运行npm audit fix
并没有解决问题,因为该漏洞需要手动检查。更多信息链接上的建议是升级到4.4.2
或更高版本。当我运行npm show tar version
时,我意识到我运行的是4.4.8
版本,这让我很困惑。我去了package-lock.json
,发现node-gyp是node-sass的一个依赖项,它使用的是tar版本^2.0.0
这让我感到困惑,因为我已经看到许多不同的tar版本依赖于其他包,但这个node-sass > node-gyp > tar version
是v4.4.2
下面唯一的一个。为什么它是这样工作的,为什么我必须手动修复它,以及我如何手动修复/升级这个包?
发布于 2019-04-12 02:51:15
这个问题正在gitgub页面上被跟踪
发布于 2019-04-20 02:25:32
请在"package-lock.json“文件中更新"tar”的值。要进行验证,请运行"[npm audit][1]
“。
"tar": {
"version": "4.4.8",
"resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",
"integrity": "value",
"dev": true,
"optional": true,
"requires": {
"block-stream": "*",
"fstream": "^1.0.2",
"inherits": "2"
}
}
发布于 2019-04-15 14:33:02
在您的包-lock.jason中,将node的tar更新为以下版本(版本4.4.8):
"version":"4.4.8","resolved":"https://registry.npmjs.org/tar/-/tar-4.4.8.tgz“
https://stackoverflow.com/questions/55638180
复制相似问题