Исправления аудита NPM

Question

После запуска npm audit У меня есть (это только одно из) умеренное предупреждение

Moderate      │ Prototype pollution
Package       │ hoek
Patched in    │ > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of │ karma
Path          | karma > log4js > loggly > request > hawk > sntp > hoek

Я вижу, что hoek - это зависимость кармы (далее по цепочке).Глядя на репозиторий Karma на GitHub, я вижу, что это было поднято, но не было немедленного исправления.

Это то, что мы должны сейчас принять, пока они не обновят свои зависимости, или мы можем сказать нашему приложению использовать более свежую версию hoek и применить ко всем пакетам?

Answer 1

Вы можете npm установить фиксированную версию зависимости из запроса на получение или коммита.Например,

npm install github:winstonjs/node-loggly#pull/79/head

Затем удалите добавленную строку в package.json, например, "loggly": "github:winstonjs/node-loggly#pull/79/head"

В файле package-lock.json найдите loggly и там, где он показывает "version": "<some git url>", удалите URL изамените его соответствующим номером версии, например, «1.1.1».

Answer 2

Проблема в том, что loggly не обновлялся долгое время и жестко запрограммирован на request версию, которая использует hoek версию с указанной уязвимостью.Существует открытый выпуск .

Учитывая роль пакета hoek, маловероятно, что он вызывает реальную проблему безопасности.

С точки зрения пользователя, возможноисправить проблему безопасности, используя ветку, в которой исправлена ​​эта зависимость, например этот запрос на извлечение :

"karma": "^2.0.2",
"loggly": "github:winstonjs/node-loggly#pull/79/head"

Поскольку loggly версия ветки соответствует ограничениям в log4js, это заменяет исходную loggly с фиксированным значением (возможно, требуется очистка node_modules для вступления в силу).

Это вызывает

400 Плохой запрос - POST https://registry.npmjs.org/-/npm/v1/security/audits

ошибка для npm audit, поэтому, скорее всего, ее следует оставить как есть.