Выполнение предложенной команды не устраняет уязвимость NPM

Question

После каждой установки нового модуля NPM в моем проекте я получаю следующую ошибку:

[!] 40 vulnerabilities found - Packages audited: 5840 (0 dev, 299 optional)
    Severity: 8 Low | 24 Moderate | 8 High

Итак, я запускаю npm audit и получаю подробную информацию для каждой из 40 уязвимостей, таких как:

# Run  npm install npm@6.0.1  to resolve 22 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ npm                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ npm > libcipm > npm-lifecycle > node-gyp > request > hawk >  │
│               │ boom > hoek                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

или вот так:

# Run  npm update fsevents --depth 2  to resolve 3 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ chokidar                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ chokidar > fsevents > node-pre-gyp > tar-pack > debug        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

Итак, я запускаю npm install npm@6.0.1 (хотя у меня уже был 6.0.1), затем npm update fsevents --depth 2 Но после этого я перезапускаю npm audit и ничего не изменилось, у меня все еще есть те же 40 уязвимостей, и некоторые из них действительно страшны.Что мне делать?

Answer 1

Источник: https://github.com/npm/npm/issues/20675. Одна проблема fsevents может быть связана с тем, что

fsevents не может быть установлена ​​на Windows, поэтому вам придется обновить ее намашина macOS.

Это немного странно, поскольку, глядя на решение exhnozoaa, на эту дату, похоже, подразумевается иное:

Мне удалось обойти это наWindows со следующими шагами.

1. Откройте package-lock.json в редакторе.
2. Найдите "fsevents".Найдите объект, который является объектом, непосредственно под "dependencies".
3. Удалите "fsevents" (ключ и весь объект).
4. Из терминала запустите npm install.

Это должно восстановить этот раздел с последней версией, совместимой с другими пакетами.Я не думаю, что это хороший способ исправить это, но он мне помог.

Answer 2

Это работало для меня на MacOS:

• Обновление NPM до нового 6.1.0. Он вводит команду 'npm Audit Fix Fix', подробнее здесь .
• Запустите исправление аудита npm.

Когда вы снова запускаете 'npm audit', единственными оставшимися уязвимостями должны быть проблемы "Проверка вручную".

Answer 3

Это похоже на ошибку в npm 6.0.1, связанную с обработкой необязательных зависимостей: https://github.com/npm/npm/issues/20577