Как избавиться от уязвимостей "hoek"

Question

Я недавно отправил приложение Angular CLI 5 на GitHub, и оно показало следующее:

We found a potential security vulnerability in one of your dependencies.
A dependency defined in net-incident/package-lock.json has known security vulnerabilities and should be updated.
Dependencies defined in net-incident/package-lock.json 816
hapijs / hoek Known security vulnerability in 2.16.3

Я просмотрел вывод «аудита npm» и выполнил различные обновления, включая следующие (которыене предлагалось):

npm install --save-dev request@2.86.0

Пакет 'request' содержит 'hawk', который содержит 'hoek'.Когда я смотрю на пакет 'request' в node_modules, версия изменилась.Но следующие два обновления из 'npm audit', похоже, ничего не делают:

npm update fsevents --depth 4 npm update stringstream --depth 5

ИУ меня осталось следующее:

[!] 33 vulnerabilities found [12201 packages audited]
    Severity: 5 Low | 24 Moderate | 4 High
    Run `npm audit` for more detail

И многие из уязвимостей похожи на следующие:

Moderate        Prototype pollution
Package         hoek
Patched in      > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of   karma
Path            karma > log4js > loggly > request > hawk > boom > hoek
More info       https://nodesecurity.io/advisories/566

В конце концов приложение не скомпилируется, поэтому я заменилПакет и блокировка файлов, и теперь я вернулся к началу.Я действительно хочу исправить проблемы с безопасностью.Как мне избавиться от надоедливых уязвимостей hoek?

Answer 1

Этот ответ решает аналогичную проблему hoek, а этот ответ подробно объясняет отчеты аудита неуязвимости.

npm audit отчеты возможно проблем.Нет необходимости, чтобы это были реальные проблемы, которые должны быть решены.

Вложенная зависимость, такая как karma > log4js > loggly > request > hawk > boom > hoek, может потребовать разветвления множества пакетов в цепочке зависимостей на случай, если она должна быть исправлена.

Prototype pollution Диагноз указывает на запах кода.Причина, по которой запах прототипа пахнет, заключается в том, что он может вызвать проблемы с безопасностью.По этой причине он помечен как Moderate.Маловероятно, что это вызывает какие-либо угрозы безопасности в пакете hoek из-за его работы, независимо от того, как используется пакет (это также важно).

Кроме того, karma > log4js > loggly > request > hawk > boom > hoek цепочка зависимостей означает, что проблемапроисходит в зависимости развития.Большинство проблем безопасности в первую очередь применимы к зависимостям, которые используются в производстве.Эта проблема специфична для испытаний и кармы.Это практически невозможно, это угроза.

TL; DR: это не уязвимость .Это нужно игнорировать.Любой отчет npm audit должен пройти проверку работоспособности, прежде чем будут предприняты какие-либо попытки его исправить.

Answer 2

Я был терпелив, и они решили проблему:

npm update karma@latest

должно работать.

Answer 3

Вы должны запустить rm package-lock.json && npm update && npm install, если это все еще не решит вашу проблему, вы можете продолжить, запустив npm ls hoek, что должно дать вам:

├─┬ fuse-box@3.3.0
│ └─┬ request@2.81.0
│   └─┬ hawk@3.1.3
│     ├─┬ boom@2.10.1
│     │ └── hoek@2.16.3
│     ├── hoek@2.16.3
│     └─┬ sntp@1.0.9
│       └── hoek@2.16.3
└── hoek@5.0.3

Проверьтеверсия hawk против версии на npm hawk , если она не совпадает, запустите npm i hawk --save или npm i hoek@latest --save, тогда вы должны также выполнить: npm i karma@latest --save, затем npm audit После чегоЯ снова выполнил свои обычные команды git:

git add .
git commit -m 'whatever_message'
git push 

Затем вы можете вернуться к Github, уязвимость безопасности должна быть исправлена.