Как исправить уязвимость в npm-зависимостях?

Question

Я получил 18 уязвимостей, дав npm audit, затем я выбрал ту, которая помечена как высокая.

вот ее деталь,

  High            Denial-of-Service Memory Exhaustion                           

  Package         qs                                                            

  Patched in      >= 1.x                                                        

  Dependency of   google-search-scraper                                         

  Path            google-search-scraper > request > qs                          

  More info       https://nodesecurity.io/advisories/29 

кажется, что нам нужночтобы обновить пакет запроса, поэтому >npm i request я его установил.

и что теперь, команда аудита снова дает те же результаты

, пожалуйста, помогите,

Спасибо

РЕДАКТИРОВАТЬ

Moderate        Prototype pollution                                           

  Package         hoek                                                          

  Patched in      > 4.2.0 < 5.0.0 || >= 5.0.3                                   

  Dependency of   botkit                                                        

  Path            botkit > botbuilder > jsonwebtoken > joi > hoek               

  More info       https://nodesecurity.io/advisories/566  

Answer 1

Как говорится в отчете, уязвимость qs была исправлена ​​в 1.x.Это не проблема для последних request версий.google-search-scraper имеет request@~2.33.0 зависимость, которая зависит от qs@~0.6.0.Независимо от того, какая версия request установлена ​​в проекте, google-search-scraper продолжит использовать версию 2.33.x, которая содержит уязвимость.

google-search-scraper следует разветвить и использовать вместо исходного пакета, requestверсия зависимости должна быть обновлена ​​в форке, например, до request@^2.33.0.Кроме того, проблема может быть открыта в хранилище пакетов и дополнена PR.