Npm审计报告说:‘发现1个低严重性漏洞’因果报应>扩展大括号>大括号
Npm审计报告中提到的“发现1个低严重性漏洞”表示在使用Npm(Node Package Manager)时,发现了一个被评定为低严重性的漏洞。
漏洞是指软件系统或应用程序中的缺陷或错误,可能导致系统功能异常、数据泄露、攻击者利用等安全风险。低严重性漏洞通常是指对系统的影响较小,可能导致一些功能异常或存在一定的潜在风险,但相对于高严重性漏洞来说,其风险较低。
在处理这个漏洞时,可以根据具体情况采取以下措施:
- 更新软件包版本:如果漏洞已经被修复并发布了新的版本,可以通过更新软件包版本来解决漏洞问题。可以通过运行
npm update <package>或者修改项目的package.json文件中的版本号来进行更新。 - 检查依赖关系:漏洞可能是由于某个软件包的依赖关系引起的,可以通过检查项目的依赖关系树,找出与漏洞相关的软件包,并采取相应的措施。
- 替换受影响的软件包:如果无法更新软件包版本或者修复漏洞,可以考虑替换受影响的软件包,选择一个没有漏洞的替代品。
- 密切关注漏洞通告:定期关注安全团队或相关机构发布的漏洞通告,及时了解最新的漏洞信息,并采取相应的措施。
在云计算领域中,Npm是一种广泛应用于Node.js生态系统的软件包管理工具。它提供了便捷的方式来管理、安装和发布JavaScript模块。由于广泛使用,Npm的安全性也非常重要,因此定期进行漏洞审计是保障项目安全的重要一环。
腾讯云提供了一系列与Node.js相关的云服务,如腾讯云云服务器(CVM)、云函数(SCF)、容器服务(TKE)等,可以帮助开发者在云上运行、部署和扩展Node.js应用程序。具体的产品介绍和链接地址如下:
- 腾讯云云服务器(CVM):提供弹性计算能力,可用于运行各种应用程序。详情请参考腾讯云云服务器(CVM)
- 云函数(SCF):基于事件驱动的无服务器计算服务,可以实现按需运行代码。详情请参考云函数(SCF)
- 容器服务(TKE):提供高可用的容器化应用运行环境,支持快速部署和扩展应用。详情请参考容器服务(TKE)
以上是针对Npm审计报告中提到的漏洞问题的回答和相关的腾讯云产品推荐。同时,云计算领域涉及的其他专业知识和技术也是非常广泛的,包括前端开发、后端开发、软件测试、数据库、服务器运维、云原生、网络通信、网络安全、音视频、多媒体处理、人工智能、物联网、移动开发、存储、区块链、元宇宙等等。如果您有针对这些专业知识的具体问题,我也会尽力给出相应的回答和建议。
相关·内容
npm审计报告
glob-parent <5.1.2严重性:中等程度的正则表达式拒绝服务-beta无修复程序可用node_modules/webpack-dev-server/node_modules/glob-parent chokidar 1.0.0-rc1 - 2.1.8取决于glob-parent server服务器2.0.0- node_modules/webpack-dev-server/node_modules/chokidar 2.0.0- - 3.11.2取决于chokidar节点模块/ webpack-dev-server @node_modules/webpack
浏览 2提问于2021-09-02得票数 0
1回答
如何手动修复npm漏洞?
、、、、
当我试图运行'npm更新‘时,我得到了31个漏洞。'npm审计修复‘和'npm审计修复-强制’。似乎帮不上忙。我想我需要手动更新漏洞。但我该怎么做?
运行“npm审核”后的一段输出显示如下:
我还尝试在npm审计报告中指出的软件包上做"npm更新包“。但一切都是最新的。
浏览 8提问于2021-10-23得票数 0
回答已采纳
1回答
这是运行命令npm i axios时遇到的错误
up to date, audited 1469 packages in 6s
226 packages are looking for funding
run `npm fund` for details
6 high severity vulnerabilities
To address all issues (including breaking changes), run:
npm audit fix --force
Run `npm audit` for details.
在这里,我使用VS代码并在其终端上键入该命令。
浏览 11提问于2022-11-26得票数 0
Npm审计报告称“发现1个低严重性漏洞”。1漏洞需要手动检查。 Low Regular Expression Denial of Service
Package braces
Patched in >=2.3.1
Dependency of karma [dev]
Path karma > expand-braces > braces
More info https://nodesecurity.io/advisories/786 但是,手动升级大括号(大括号:&
浏览 14提问于2019-02-27得票数 4
回答已采纳
我正在尝试创建一个react应用程序,但它给了我63个漏洞,我是react的新用户,如果有经验的人可以帮助我设置我的项目,将非常感谢。提前谢谢你。 iMacbook-Pro:can-game sam$. create-react-app can-game
//...
react-dom@16.8.4
added 1974 packages from 735 contributors and audited 36232 packages in 54.031s
found 63 low severity vulnerabilities
run npm audit fix to fix the
浏览 20提问于2019-03-14得票数 0
回答已采纳
1回答
我有一个开发博客,我看到了14个安全警报,其中一些具有高度严重性、严重严重性和中等严重性。 ? 所以,我运行npm audit来查看问题,它给了我this。 found 1403 vulnerabilities (792 low, 17 moderate, 592 high, 2 critical) in 27197 scanned packages
run `npm audit fix` to fix 1392 of them.
11 vulnerabilities require manual review. See the full report for details
浏览 66提问于2020-05-02得票数 0
1回答
使用以下自定义命令对Azure管道构建使用NPM审核
npm audit --registry=https://registry.npmjs.org/ | Select-String -Pattern ( "Critical") -Context 0,10
这里的想法是,我只想失败的这一步,如果有任何关键的问题,由审计。
在命令行中本地使用此命令可以正常工作。但是,在管道中作为自定义npm命令运行它仍然会导致整个npm审计运行并返回一些中度错误,从而导致步骤失败。
我觉得我遗漏了命令中的一些格式,但我不知道它是什么。
是否有其他人在成功克服某些错误严重性的同时,在管道中使用
浏览 2提问于2021-12-23得票数 1
回答已采纳
我正在尝试将npm版本更新为最新的6.14.7 in package.json。
在将npm更新到最新版本之后,我运行了npm audit,并获得了dot-prop包依赖项的两个漏洞,该漏洞显示在npm路径下。
因此,我尝试更新最新的dot-prop ^5.1.1。但还是会犯同样的错误。
请帮助我如何手动审查和修复这一点。
审计报告:
root@redhatdev client# npm审计=== npm审计安全报告===手动检查需要您注意的一些漏洞需要您解决访问以获得附加指导高原型污染包点-支持修补在npm路径的>=5.1.1依赖项中npm libnpx更新-notofoer配置存储
浏览 1提问于2020-07-30得票数 3
回答已采纳
2回答
对于我的项目,我使用了一个包,Seriate。
npm install seriate
但是,运行它会得到以下结果:
发现17个漏洞(9个低、1个中等、7个高)
我运行了npm audit和npm audit fix,但什么也没有。我还研究了依赖项,Lodash似乎有一个安全问题(据推测固定在4.17.11)。
我怎么才能修好这些?我已经尝试过像这样更新npm install lodash@4.17.11:然而,这也不起作用。
另外,这是否需要担心,它是从本地服务器上运行的,而本地服务器本身是安全的?
谢谢你的帮助
浏览 2提问于2019-07-03得票数 4
回答已采纳
在angular 8中,当我安装npm时,发现了12个严重的漏洞。 版本:- Angular CLI: 8.0.3
Node: 10.16.0
OS: linux x64
Angular: 8.0.1
... animations, cdk, common, compiler, compiler-cli, core, forms
... language-service, material, platform-browser
... platform-browser-dynamic, platform-server, router
Package
浏览 75提问于2019-06-17得票数 1
回答已采纳
3回答
每当我使用react-native init <projname>创建一个新的,然后尝试安装我的项目所需的任何NPM包时,我总是会出现这样的错误-
发现11个低严重漏洞
我该如何解决这个错误?
我已经试过npm audit fix了。但是它说这些错误应该手动解决。
$ npm install react-native-elements --save
npm WARN rm not removing C:\Users\jjeff\Documents\React Native\testOne\node_modules\.bin\sane.cmd as it wasn't
浏览 3提问于2019-03-24得票数 1
我正在尝试npm安装karma-jasmine,出于一些奇怪的目的,我只想npm安装该模块,而不是因果报应。它安装karma并将其定义为peerDependency。有没有可能不安装peerDependency以及如何安装?我使用的是npm 1.4.28
这是我的package.json
{"dependencies": {"karma-jasmine": "0.2.3"}}
浏览 1提问于2015-04-10得票数 3
我正在使用下面的书构建一个MERN堆栈CRUD应用程序。我在安装和运行graphql时遇到了麻烦。
(出版于2019年)。
当我尝试用npm命令启动这个repo 中包含的服务器时,启动应用程序崩溃并返回
错误:找不到模块'graphql/validation/rules/PossibleTypeExtensions‘
然后,我从这个问题的前一个例子中得到一些建议,将npm安装因果报应-sinon-chai用于被抚养人。但是,我得到了以下错误:
npm警告阿波罗-graphql@0.4.4需要一个graphql@^14.2.1的对等点,但没有安装。您必须自己安装对等依赖项。
浏览 3提问于2020-05-23得票数 2
回答已采纳
1回答
我正在设计一个API,我想要定义一个枚举严重性,它可以有值低、中等或高。内部严重性存储为整数,因此我希望将它们分别映射到2、1和0。有办法在OpenAPI定义中做到这一点吗?这是我目前对严重程度的了解。
severity:
type: string
enum:
- HIGH
- MEDIUM
- LOW
浏览 6提问于2021-03-03得票数 14
回答已采纳
当我使用> npx react创建app项目时,它显示了一个错误:
发现了一个低严重度漏洞,运行npm audit fix修复它们,或者运行npm audit获取详细信息。
我试着用npm审计修复来解决这个问题,但是它不起作用。
=== npm audit security report ===
Manual Review
Some vulnerabilities require your attention to resolve
Visit https:
浏览 6提问于2020-05-14得票数 0
5回答
我最近启动了一个新的Vue.js项目。在最近一次提交GitHub之后,我收到了以下Dependabot通知:
在Packe-lock.json中定义的节点伪造< 0.10.0中检测到的高严重性安全漏洞。package-lock.json更新建议:节点-伪造~> 0.10.0。
如何进行更新节点伪造?我做过npm的审计修正。
节点伪造只存在于我的包-lock.json文件中,并且是“自签名”依赖项所必需的。
浏览 8提问于2020-09-15得票数 7
回答已采纳
4回答
在我的面试中,有人问我
有一个登录页面,其中的“忘记密码”按钮不起作用,这将是严重程度和优先级。
然后他告诉我,如果提交按钮不起作用,那么优先级和严重性是什么?
请给我一些实时的例子
高严重性-高优先级错误
低严重性和高优先级错误
低严重性和低优先级错误
浏览 0提问于2018-04-14得票数 -1
所以,我有一个包,在这个包里面-lock.json:
"micromatch": {
"version": "2.3.11",
"resolved": "https://registry.npmjs.org/micromatch/-/micromatch-2.3.11.tgz",
"integrity": "sha1-hmd8l9FyCzY0MdBNDRUpO9OMFWU=",
"requires": {
"arr-diff":
浏览 0提问于2019-02-18得票数 2
由于一些代码漏洞,我正在尝试更新子依赖项。该软件包是snapdragon,目前我已经安装了0.8.2版本,但我希望升级到最新的0.12.0。 我已经更新了所有需要snapdragon作为依赖项的包。现在,根据这些包package.json,它们需要"^0.8.1",也就是说,应该也支持0.12.0。 下面是npm ls snapdragon的结果 ├─┬ nodemon@1.19.2
│ └─┬ chokidar@2.1.8
│ └─┬ braces@2.3.2
│ └── snapdragon@0.8.2 deduped
└─┬ webpack@4.40.2
浏览 154提问于2019-09-23得票数 2
回答已采纳
节点安全平台服务自今年9月30日以来一直在贬值。我一直在继续使用,直到它今天最终失败为止。我想把这个错误公诸于众,以便其他人以后能找到它。
我今天所犯的错误:
错误:客户端请求错误: getaddrinfo ENOTFOUND api.nodesecurity.io api.nodesecurity.io:443
> eslint . && nsp check
(+) Error: Client request error: getaddrinfo ENOTFOUND api.nodesecurity.io api.nodesecurity.io:443
npm
浏览 1提问于2018-12-11得票数 17
回答已采纳
2回答
人们每天都使用这个合同,http://github.com/ethereum/dapp-bin/blob/master/wallet/wallet.sol,它也是目前大多数空想的合同。
此外,您还可以使用此合同源代码在官方上创建一个multisig帐户。
但是当我进入站点https://etherscan.io/address/0xab7c74abc0c4d48d1bdad5dcb26153fc8780f83e#code时,我们收到了所有这些警告,说明安全性很低。
警告:编译后的契约可能容易受到ZeroFunctionSelector (非常低严重性)、DelegateCallReturnVa
浏览 0提问于2017-10-19得票数 4
回答已采纳
6回答
WARN [config]: config.configure() is deprecated, please use config.set() instead.
WARN [plugin]: Cannot find plugin "karma-phantomjs".
Did you forget to install it ?
npm install karma-phantomjs --save-dev
INFO [karma]: Karma v0.10.2 server started at http://localhost:9018/
WARN [launcher
浏览 4提问于2013-08-30得票数 30
回答已采纳
是否有一个可靠的公共注册表(最好以API的形式)记录开源软件中已知的安全漏洞?
为什么会有人想要这个?
我试图模仿github在本地服务器上的依赖。它只需扫描所有存储库,检查依赖项是否更新,并通知维护人员,但我无法告诉他们更新的严重性。大多数更新都是完全无害的(一点也不紧急)。然而,有一小部分是极其严重的,应该立即采取行动。
最后,我想找到一种编程的方法来确定哪些开源库更新是常规更新,哪些是包含重要安全更新的更新(也就是说,没有人需要研究每个更新)。
作为参考,这里有一个可靠的例子(注意右边显示更新的严重性)
📷
浏览 0提问于2020-11-07得票数 3
亲爱的,在尝试了几次用修复漏洞之后,它仍然给出了下面的消息;您有什么解决方案来解决这些问题吗?谢谢你的帮助。
要解决所有问题,请运行: npm审核修复PS D:\openclassroom\P7\P7groupomania\backend>审计修复npm警告配置全局--global,--local是不推荐的。使用--location=global代替。
到目前为止,审计了231个2s包
国家预防机制审计报告
glob-父母<5.1.2严重性:在glob-父- 修复中,通过npm audit fix节点_模块/glob-父chokidar 1.0.0-Rc1-2.1.8提供的高正则
浏览 2提问于2022-06-22得票数 4
1回答
我正试图从我的主目录中安装一个带有npm的全球软件包。安装完成后,它表示存在漏洞。在尝试运行npm audit fix时,我会获得以下错误。
npm错误!代码ENOLOCK npm错误!审核此命令需要一个现有的锁文件。npm错误!审核首先尝试创建一个: npm -包锁-纯npm错误!审核原始错误: loadVirtual需要现有的收缩包装文件
我知道这个错误要求我运行npm i --package-lock-only,但是我应该在哪个目录中创建这个文件?在不指定路径的情况下运行命令不起作用。我还尝试在安装包的目录中创建文件,但这也没有解决问题。另外,为什么这个文件没有呈现出来呢?
浏览 5提问于2021-04-06得票数 2
回答已采纳
1回答
我要用react启动一个全新的项目,在用npm安装这个项目之后,我会发现严重的漏洞,我如何修复这些漏洞呢?会引起什么问题吗?当我运行命令npm start时,一切似乎都正常。
我试过运行"npm审计修复“,但它说:修复了8646个漏洞中的0。
运行以下命令时的:
npx create-react-app my-app
输出:
npx: installed 91 in 27.693s
Creating a new React app in E:\My project\ReactJS\Training\my-app.
Installing packages. This might ta
浏览 0提问于2019-07-12得票数 1
4回答
我想利用因果报应,查伊和西农来测试间谍。
我做了: npm安装业力-sinon-储蓄-dev
我补充说:框架:'mocha','chai','chai-sinon‘。
我跑:卡玛开始
但我发现了一个错误:
Error: No provider for "framework:chai-sinon"! (Resolving: framework:chai-sinon)
浏览 0提问于2015-05-06得票数 2
回答已采纳
1回答
我对编码很陌生。我正在使用Windows10,刚刚安装了一个WSL。我想使用命令npm install -g ganache-cli安装Ganache,但是它说它有8个漏洞(7个中度,1个高)
当我编写npm audit fix或npm audit fix --force时,它说没有漏洞。我不明白问题出在哪里。
我的NPM版本是8.3.0
浏览 7提问于2021-12-17得票数 0
与手动查找漏洞相比,像w3af这样的工具在查找web应用程序漏洞方面有多有效?他们是否能够从OWASP前10名中找到所有漏洞,如反射xss、持久xss、sqli、lfi/rfi和不受限制的文件上传?还是会有一些漏洞从裂缝中掉下来,而仍未被发现?
浏览 0提问于2014-11-27得票数 3
5回答
我们公司正在开发一个用于电子商务的web应用程序.我们希望建立一个更正式的评分系统,任何与安全有关的问题,最终由我们或我们的客户报告。其目的是确定补丁开发的优先级,同时将严重性告知客户端。
到目前为止,我们评估了常见漏洞评分系统。这看起来既简单又准确(跳过环境指标),并且有在线计算器来评分。此外,开发我们自己的计算器也很简单。
我的问题是- CVSS最受欢迎的替代品是什么?与CVSS相比,有哪些优点和缺点?是否有类似于比较备忘单的东西,这样我们就可以很容易地找到我们的方法,或者我们需要对更多的系统进行认真的评估?
浏览 0提问于2012-10-03得票数 7
回答已采纳
我正在使用Gitlab开发CI/CD管道,目前正在使用snyk运行依赖安全分析。它工作得很好,但我现在想实现一些逻辑,如果发现的漏洞低于给定的阈值,则允许管道在此步骤中继续运行,而不会失败。例如,如果发现了一些中等严重程度的漏洞,但没有发现其他漏洞,则允许这样做,并且不要使管道失败。但是,如果发现了一些中等严重程度的漏洞,并且还发现了一些高度严重的漏洞,则由于这些高度严重的漏洞而导致管道失败。
我使用的是共享的Gitlab runners,所以我通过在线UI来观察所有的东西。我已经检查了我正在使用的命令的退出代码(snyk test),但我所看到的是,如果发现任何漏洞,进程都会以“非零”退出代
浏览 0提问于2019-06-27得票数 0
我正在使用CIS基准框架来审计我的Linux操作系统,并且收到了各种通过/失败的结果。但是,有什么办法优先考虑失败的结果吗?这些建议是否有可用的严重性映射?
浏览 0提问于2020-04-07得票数 0
回答已采纳
自从更新npm run build后,我在Vue应用程序上遇到了一些问题。
我第一次收到一些与eslint相关的错误,所以我更新了
"eslint": "^6.7.2"
至
"eslint": "^6.8.0"
在此之后,我得到了一个运行npm audit fix的建议,它返回一条高严重性消息,引用glob-parent <5.1.2以及nanoid的中度严重性。
# npm audit report
glob-parent <5.1.2
Severity: high
Regular expression den
浏览 18提问于2022-05-23得票数 1
3回答
我可能是错的,显然不理解角度如何工作,但如果我做ng new test-proj,添加路由是和scss,与最新的lts,我希望看到npm audit打印的例子。“一切正常”。
但我明白:
Found 13 vulnerabilities (6 moderate, 7 high) in 1310 scanned packages
13 vulnerabilities require manual review. See the full report for details.
ng version产生以下结果:
Angular CLI: 12.2.9
Node: 14.18.1
Packag
浏览 5提问于2021-10-13得票数 1
回答已采纳
1回答
根据我从收集到的资料,
审核命令将项目中配置的依赖项的描述提交到默认注册表,并要求提供已知漏洞的报告。
因此,有一个NPM注册中心,我假设我将从其中获得npm install包,以及包含安全审计警告的包。如果是的话,如何登记这些警告?
浏览 1提问于2020-03-09得票数 0
回答已采纳
我将在ECS服务器上部署我的项目。它在本地机器上工作很好,但是在常规例程之后,npm run build和npm run start。应用程序退出时会出现一个非常连线的错误。
/root/redux-blog/public/assets/server.js:1
on(e,t,n){"use strict";function r(e,t,n,r){if(e===n)return !0;if(!n.startsWith
^
TypeError: O
浏览 5提问于2016-06-10得票数 0
1回答
如何利用npm审计?
、、、、
TLDR:是否有可能利用npm audit的漏洞检测功能作为restful服务而不是当前的CLI实现?
npm提供针对(NSP)漏洞数据库的每个安装请求的自动漏洞扫描,如果您尝试使用不安全代码,则警告您。此外,npm audit递归地分析依赖树,以明确哪些是不安全的,推荐替换,或者使用npm审计修复自动修复它。
这个功能很棒,我希望能够在web应用程序中利用这种漏洞扫描功能。那我为什么要这么做?
似乎大多数公司都拥有一个内部JFrog存储库,它需要不断更新和维护,以反映。然而,一种更有效的方法(在我看来)是创建一个简单的web应用程序,其中嵌入了。这样,这个web应用程序将更像一个代理,并允许
浏览 3提问于2019-06-21得票数 8
回答已采纳
我创建了一个新的nestjs项目,并安装了几个额外的标准包。在控制台中,它说包已经过时,有7个红色漏洞。
建议的命令npm audit fix --force没有帮助--在此之后仍然存在4个红色漏洞。我找到了一个命令,它可以将包更新为最新版本:
npm install -g npm-check-updates
ncu -u
npm install
现在我不能用npm install了
npm install
npm ERR! code ERESOLVE
npm ERR! ERESOLVE could not resolve
npm ERR!
npm ERR! While resolving
浏览 10提问于2022-05-27得票数 3
2回答
我会犯这样的错误。
C:\Users\Sulagna(mana)\Desktop\Angular Application\quickstart-master>npm install
npm WARN deprecated minimatch@0.3.0: Please update to minimatch 3.0.2 or higher to avoid a RegExp DoS issue
npm ERR! Unexpected end of JSON input while parsing near '...Shrinkwrap":false,"di'
浏览 0提问于2018-08-24得票数 0
回答已采纳
我遇到了一个问题,在用过时的npm包引入的几百个存储库中,我有太多的漏洞。问题是,我需要找到一种优先排序的方法。对我来说,最大的痛苦是工程团队想要证明漏洞的利用,所以他们修补了这个包。
是否有任何工具可以用来检查一个易受攻击的包是否真的对应用程序构成威胁?我知道Snyk是可触及的,但它只用于Java项目,我需要一些nodejs。
浏览 0提问于2022-04-28得票数 1
到目前为止,已审计了7s中的1446个包裹
194个软件包正在寻找资金运行运行npm fund的详细信息
6个高度严重的漏洞
要解决所有问题(包括中断更改),运行: npm审核修复-强制。
运行npm audit获取详细信息。
浏览 6提问于2022-07-03得票数 0
对于我的愚蠢问题,我是第一次反应,下一个js非常抱歉,我试图在一个新的js应用程序中安装资料用户界面(我使用了"npx npx- next - app @latest“),而im使用的是资料用户界面文档和ts部分()。
我在cli /终端中发现了以下错误:
npm install @mui/material @emotion/react @emotion/styled
npm ERR! code ERESOLVE
npm ERR! ERESOLVE unable to resolve dependency tree
npm ERR!
npm ERR! peer react@"
浏览 4提问于2022-04-02得票数 0
回答已采纳
bootstrap@4.1.1更新了17046 s中的1套包和审计了1932包
145个软件包正在寻找资金运行npm fund以获得详细信息
找到6个漏洞(4个中度漏洞,2个高级漏洞),运行npm audit fix修复它们,或运行npm audit获取详细信息
浏览 9提问于2021-07-14得票数 1
回答已采纳
我是一个新的开发者,这些错误折磨着我。
npm install --save radium
+ radium@0.26.0
updated 1 package and audited 1374 packages in 11.052s
23 packages are looking for funding
run `npm fund` for details
found 34 vulnerabilities (31 low, 1 moderate, 2 high)
run `npm audit fix` to fix them, or `npm audit` for d
浏览 0提问于2020-06-28得票数 0
如何正确创建react原生应用的依赖检查(漏洞报告)?
如果我运行"npm install“,则会自动显示"npm audit”的信息。在下面的示例中,我使用了一个新创建的项目,该项目带有React Native CLI,使用RN 0.63.2
npm审计仅显示3个低漏洞(node-fetch):
Retire.js没有给出任何漏洞(可能配置错误,仍在努力找出)。
但是,使用DependencyCheck by jeremylong (),它提供了72个易受攻击的依赖项中的132个漏洞。摘录:
Scan Information (show all):
dependency-
浏览 0提问于2020-09-21得票数 1
I将我的回购克隆为一个react应用程序。运行了3高严重性警告。在试图修复(npm审核修复-强制)时,在总中得到31个漏洞。
以下是警告:
npm WARN deprecated request-promise-native@1.0.9: request-promise-native has been deprecated because it extends the now deprecated request package, see https://github.com/request/request/issues/3142
npm WARN deprecated @hapi/topo@
浏览 7提问于2021-02-19得票数 9
2回答
我正在启动一个新的react项目,并且我只安装了非常基本的包(npx create-react-app),没有安装其他任何东西。当我运行审计时,我得到以下低漏洞:
=== npm audit security report ===
┌───────────────────────────────────────────────────────
浏览 2提问于2020-05-01得票数 17
回答已采纳
我有一个带有NodeJS的前端应用程序,并且我试图使npm审计仅在高或关键漏洞上中断,因此我尝试更改文档中指定的审计级别,但它仍然会返回低漏洞,因为您可以看到
npm set audit-level high
npm config set audit-level high
npm audit
我是不是做错了什么?
我的npm版本是6.14.5我的NodeJS版本是10.17.0
浏览 30提问于2020-05-19得票数 1
1回答
在各种安全论坛上,我看到了链接到职位关于一个虚构的恶意NPM包收集信息。职位名称:
我从你的网站上收集信用卡号码和密码。这是怎么做的
在我看来,这篇文章中最好的一句话是:
对我来说幸运的是,我们生活在一个人们安装npm软件包的年代,就像他们在使用止痛药一样。
这导致了我们公司的一个讨论,一个恶意的NPM包是否适合于OWASP 2017年十大。我认为它可以分为以下几类:
A6:2017-安全错误配置描述说:“不仅所有操作系统、框架、库和应用程序都必须安全配置.”。例如,如果您有一个恶意库,因为您的CSP配置不正确,所以可以做一些事情,我会将它归入此类别。
A7:2017-跨站点脚本( XSS )
浏览 0提问于2018-01-10得票数 5
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
腾讯云开发者
