Как я могу исправить уязвимость в зависимости от пакета

Question

Я пытаюсь выучить javascript, и каждый учебник, которому я следую, выдает одни и те же ошибки или больше. Я не понимаю, что это такое или что оно хочет от меня. Когда я go к URL, это ничего не исправляет. Что мне нужно сделать? Может ли кто-нибудь помочь мне с некоторым фоновым чтением или чем-то более простым? Я знаю другие языки программирования, но у меня нет никакого опыта в подобных вещах.

found 1 low severity vulnerability in 3522 scanned packages 1 vulnerability requires manual review. See the full report for details. ➜ web-dev-starter git:(master) ✗ npx npm-force-resolutions npx: installed 5 in 1.27s ➜ web-dev-starter git:(master) ✗ npm install audited 3522 packages in 1.712s

2 packages are looking for funding run npm fund for details

found 1 low severity vulnerability run npm audit fix to fix them, or npm audit for details ➜ web-dev-starter git:(master) ✗ npm fund js-starter-code@1.0.0 ├─┬ https://github.com/sponsors/isaacs │ └── glob@7.1.6 └─┬ https://github.com/sponsors/ljharb └── resolve@1.15.1

➜ web-dev-starter git:(master) ✗

Я не знаю, кто эти люди или этот git хаб. Нужно ли вступать в членство, чтобы получить код? Что это?

Answer 1

GitHub - очень популярный сайт, используемый разработчиками для совместной работы над проектами. Это место, где вы можете загрузить свой код, а другие люди могут загрузить его на свой компьютер, поработать над ним и предложить изменения. Если вы хотите присоединиться к GitHub, вы можете go до github.com и бесплатно создать учетную запись.

Существует множество вещей, которые можно узнать об использовании их сайта, особенно о инструмент под названием git. Это инструмент, который помогает вам отслеживать изменения и обновления, которые вы вносите в файлы в вашем проекте. Я предлагаю начать с собственных ресурсов GitHub , если вы хотите изучить git.

Однако вам не нужно ничего делать для исправления ваших уязвимостей. Давайте попробуем выяснить, что происходит.

Когда вы делаете учебные пособия, вам, вероятно, дается некоторый шаблонный код (то есть, какой-то код, который кто-то другой написал для вас), который вы должны загрузить для себя компьютер. Первый шаг в учебнике, скорее всего, говорит вам сделать что-то подобное в вашем терминале:

$ cd path/to/project
$ npm install

Здесь npm это Диспетчер пакетов узла , Для наших целей npm - это набор программного обеспечения, которое вы можете загрузить с помощью своего Терминала и затем включить в свой код. Например, если вы пишете приложение express на JavaScript, вам нужно начать файлы с

const express = require('express');

JavaScript, который знает о express (или react или любом другом программном обеспечении, которое вы используется), потому что npm установил их для вас, когда вы запустили npm install. Когда вы вызываете эту команду, npm ищет в файле с именем package.json и устанавливает указанное там программное обеспечение.

Иногда в одном из компонентов программного обеспечения npm может быть обнаружена уязвимость; может быть, в этом есть что-то, что открывает ваше приложение для злонамеренных атак или обходных путей, если ваше программное обеспечение запускается на inte rnet. Когда они будут обнаружены и зарегистрированы, npm расскажет вам о них.

Обратите внимание, что если вы не используете свое приложение ни для чего, что будет использоваться другими, вам не нужно беспокоиться об этих уязвимостях. Но если вы хотите исправить их, вы можете написать

$ npm audit fix

в свой терминал и позволить npm позаботиться об этом за вас. Затем npm попытается обновить уязвимое программное обеспечение до более новой версии, в которой была устранена уязвимость.

В качестве окончательного идентификатора, даже если вы используете только один или два компонента программного обеспечения из npm Вы можете заметить, что он устанавливает намного больше, чем это. Это связано с тем, что большая часть программного обеспечения, поддерживаемого npm, зависит от другого программного обеспечения от npm и т. Д.