Question

Получено предупреждение от GitHub о том, что супер агент v3.5.2 имел низкий уровень риска безопасности .Superagent - это зависимость, установленная с square-connect npm.Должен ли он быть обновлен вручную или его нужно оставить в покое, поскольку он загружен в соответствии с API из Square.

Known low severity security vulnerability detected in superagent <3.7.0 defined in package-lock.json.
package-lock.json update suggested: superagent ~> 3.7.0.

Приложение работает со следующими зависимостями:

"square-connect": "^2.20180918.0"

Bryan W. · Answer 1 · 26 октября 2018

Спасибо, что сообщили об этом.Супер агент был обновлен.

Anthony Garcia-Labiad · Answer 2 · 14 октября 2018

Я думаю, что лучше всего открыть проблему на их github напрямую.

Вы можете даже отправить запрос на получение обновленной зависимости, если он пройдет тесты.

Если это будет обновлено вручную

AFAIK, не существует стандартного способа переопределить вложенную зависимость с помощью npm.Даже если вы npm install superagent@3.7.0, другая версия все равно останется зависимостью square-connect.

Пряжа поддерживает ее с записью resolutions в package.json:

{
  "resolutions": {
    "superagent": "3.7.0"
  }
}

Но это не сработает с npm.

Сверхзащищенная уязвимость

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Сверхзащищенная уязвимость

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы