Важность уязвимостей NPM для процессов сборки

Question

Возможно, я немного отстал, но вчера я только что обновил NPM, и теперь я получаю всевозможные уязвимости с такими зависимостями модулей, как загрязнение прототипа, экспозиция памяти и отказ в обслуживании регулярных выражений.

Все, для чего я использую пакеты, - это компиляция, переименование, «удаление» и сжатие моих ресурсов с использованием процесса сборки, такого как gulp или webpack.

Итак, я думаю, мне интересно, насколько важно это исправитьуязвимости или насколько они актуальны для моего процесса, учитывая, что они используются только локально для создания моих активов (scss -> css, babel и сжатие изображений).

Я догадываюсь, что в то время как вы всегда хотите ошибки на сторонепредостережения, так как они не используются на сервере узла или любом живом процессе, пользовательском вводе и т. д. ... это может быть не так важно, как я первоначально думал.Я далеко?

Answer 1

Ваша догадка верна ... но будьте осторожны.

Используйте команду NPM cli, npm-audit , чтобы запустить аудит безопасности, и проверить каждую из перечисленных уязвимостей , чтобы завершить опасности в соответствии с вашей ситуацией .

Вы можете попытаться исправить эти уязвимости, выполнив:

npm audit fix

... но часто эторазрешит только некоторые из ваших предупреждений об уязвимостях, пытаясь обновить эти зависимости до следующей возможной версии semver без нарушения функциональности.

По существу, UNTIL у вас естьпакеты с уведомлениями и предостережениями, работающие как сценарии генератора, задачи сборки и автоматизации, все будет в порядке .

Но как можно скорее обновите их до последних версий. Я бы порекомендовал npm-check-updates для проверки более свежих версий установленных пакетов.