如何修复需要手动审核的手动npm审计包
我最近把我们网站上的一个更新推到我们的服务器上,以某种方式导致它被感染,我们的一堆文件被破坏,用户开始被重定向到随机站点,等等。很明显,这是由我们的依赖关系造成的。我正在使用npm来管理我们网站的依赖关系,最近我了解了npm审计。每当我运行npm审核时,都会有15个漏洞需要手动检查,并且我已经尝试通过更新报告中每个部分中建议的版本来修复这些漏洞,但是当我运行npm审核时,该漏洞仍然存在。我尝试更新报告的path部分中相关包中的版本,但当我运行npm审核时,它仍然存在。我显然不想再次上传带有漏洞的文件并破坏我们服务器上的所有站点,我只是不知道如何修复npm审计中出现的这些安全漏洞。
例如,在报告中出现的唯一高风险是:
高│正则表达式拒绝服务 包装│硬饼干 在>=2.3.3中修补│ │gulp uncss dev的依赖关系 路径│gulp uncss >uncss>请求>硬饼干 更多信息https://nodesecurity.io/advisories/525││
当我将包更新为>= 2.3.3时,在我的package.json中以及在请求中,然后运行npm审核,该漏洞仍然存在。知道如何修复此漏洞/修复该漏洞吗?
回答 1
Stack Overflow用户
发布于 2020-05-11 08:59:25
可能是晚了,但总比没有好。我只是一个新手,在nodejs领域工作超过2年,也遇到了很多审计警告,下面是我如何处理那些需要手动检查的漏洞。
首先,您必须了解,需要手动检查的这些漏洞并不是您在代码中直接安装和调用的软件包的版本。它们来自于对这些包的依赖的呼唤。在您的情况下,您使用包“gulp”,在代码“gulp”中,它将另一个依赖项称为“难饼干”。您安装的包正在管理自身的依赖关系,它不受更新新版本或旧版本的依赖项的影响。您可以将包“call cookie”更新为>= 2.3.3,但是“”将始终调用版本< 2.3.3的“艰难-cookie”。
所以你有两个选择可以做什么:
- 转储该包,并使用另一个具有类似任务且没有漏洞的包。
- 分叉到该包的回购,进行更改并创建一个拉请求,等待拉请求被接受,在更新与您发出的拉请求相适应的新版本之后,您将能够使用该包而没有漏洞。
https://stackoverflow.com/questions/52373558
复制相似问题
腾讯云开发者
