Найдено 4 уязвимости при установке npm

Question

Я только начинаю с реактивной. При установке этого пакета

npm install --save react-native-validator-form https://github.com/NewOldMax/react-native-validator-form/issues/3

Мне было предложено npm audit, и мне показали 4 уязвимости (перечислены выше)

После запуска 2 вспомогательных команд мне предложили еще две уязвимости (см. Ссылку)

Как я могу исправить оставшиеся проблемы?

Обновление соответствующих пакетов npm не работает.

Не уверен, как поступить. Надеюсь, кто-нибудь может мне помочь. Спасибо.

Answer 1

Даже после запуска npm audit fix, если оно не исправлено, то для продолжения, я думаю, вам следует Отключить аудит npm . Используйте команду ниже, чтобы отключить аудит npm.

при установке одного пакета.

npm install example-package-name --no-audit`

Чтобы отключить аудит npm при установке всех пакетов

npm set audit false

установит для параметра аудита значение false в ваших пользовательских и глобальных конфигурационных файлах npmrc.

для ознакомительного посещения: отключение-проверка по npm

Надеюсь, это поможет, и вы можете приступить к работе :) Удачной кодировки

Answer 2

У меня была та же проблема, и журнал был как ниже:

Testing binary
Binary is fine
added 1166 packages from 1172 contributors and audited 39128 packages in 112.505s
found 1 high severity vulnerability

Я выполнил приведенную ниже команду, и она была исправлена.

npm audit fix

журнал показывает, как показано ниже:

Testing binary
Binary is fine
+ @angular-devkit/build-angular@0.11.4
added 18 packages from 47 contributors, removed 14 packages and updated 52 packages in 64.529s
fixed 1 of 1 vulnerability in 39128 scanned packages

Answer 3

Если вы запустили npm audit и получили уязвимости, то у вас могут быть разные сценарии:

Уязвимости безопасности, обнаруженные в предлагаемых обновлениях

• Запустите подкоманду исправления аудита npm для автоматической установки совместимых обновлений для уязвимых зависимостей.

• Выполните рекомендуемые команды индивидуально, чтобы установить обновления для уязвимых зависимостей. (Некоторые обновления могут быть очень важными; для получения дополнительной информации см. «Предупреждения SEMVER».)

Обнаружены уязвимости в системе безопасности, требующие проверки вручную

• Если обнаружены уязвимости в системе безопасности, но нет исправлений, отчет об аудите предоставит информацию об этой уязвимости, чтобы вы могли продолжить расследование.

Источник: Просмотр и проверка отчета по аудиту безопасности

Answer 4

Это результат новой версии npm, включая команду аудита.

Это не новая проблема с Angular CLI, npm только что представил новую функциональность в npm, чтобы предупредить пользователей об уязвимостях в пакетах.они устанавливаются - так что в Angular нет «новой» уязвимости, просто теперь npm предупреждает вас об уже существующих уязвимостях:

https://blog.npmjs.org/

Большинство проблем сводятсяот Кармы, так что это должно быть исправлено для команды Angular, чтобы получить новую версию Кармы. karma-runner / karma # 2994

Answer 5

У меня была такая же проблема при выполнении этой команды:

npm install ngx-bootstrap --save

... и решил ее, запустив командную строку как Администратор .

Итак Откройте командную строку от имени администратора и повторите попытку. Надеюсь, это сработает.