Вопрос: Как исправить уязвимость безопасности GitHub, возникающую из-за зависимостей библиотечной зависимости?
Контекст:
Я получил Следующая уязвимость безопасности недавно:
1 обнаружена уязвимость руля за package-lock.json
10 дней go
Добавление одного из них строки в файле package.json
не отображаются для решения проблемы безопасности. Скорее, единственный экземпляр, который я обнаружил, что руль потенциально <4.3.0, это ссылка в <code>package-lock.json:
"istanbul-reports": {
"version": "2.1.1",
"resolved": "https://registry.npmjs.org/istanbul-reports/-/istanbul-reports-2.1.1.tgz",
"integrity": "sha512-FzNahnidyEPBCI0HcufJoSEoKykesRlFcSzQqjH9x0+LC8tnnE/p/90PBLu8iZTxr8yYZNyTtiAujUqyN+CIxw==",
"dev": true,
"requires": {
"handlebars": "^4.1.0"
}
},
При обходе цепочки зависимостей в файле package-lock. json, «istanbul-reports» тянет при использовании Jest. К сожалению, ниже приведена самая последняя версия.
"devDependencies": {
"jest": "^24.5.0"
}
Есть предложения о том, как я могу исправить или исправить это? Спасибо!