Уязвимости безопасности Github высокой степени опасности: GHSA-7fhm-mqm4-2wp7 с приложением Node.js - PullRequest
Новая
       8

Уязвимости безопасности Github высокой степени опасности: GHSA-7fhm-mqm4-2wp7 с приложением Node.js

1 голос
/ 14 марта 2020

После добавления nodemon к devDependencies в моем приложении node.js я получаю предупреждение системы безопасности на GitHub:

средней серьезности Уязвимые версии: <1.2.2 Исправленная версия: 1.2.2 Есть высокие Серьезные уязвимости безопасности в двух зависимостях ESLints: - acorn - минимальный </p>

Выпуски svjsl (JSLib- npm) версии 1.8.3 и ниже уязвимы, но только если они установлены в среде разработчика. Вышло исправление (v1.8.4), которое исправляет эти уязвимости.

Идентификаторы:

CVE-2020-7598 SNYK- JS -ACORN-559469 (не имеет CVE идентификатор)

Моя посылка. json: 

{
      "name": "web-server",
      "version": "1.0.0",
      "description": "",
      "main": "app.js",
      "scripts": {
        "start": "node src/app.js",
        "dev": "nodemon src/app.js -e js,hbs"
      },
      "keywords": [],
      "author": "",
      "license": "ISC",
      "dependencies": {
        "express": "^4.17.1",
        "hbs": "^4.1.0"
      },
      "devDependencies": {
        "nodemon": "^2.0.2"
      }
    }

Я не знаю точно, что мне делать, или я должен предоставить больше информации / кода о моем приложение.

Github репо: https://github.com/badrddinb/simple-weather-website

Ответы [ 2 ]

0 голосов
/ 18 марта 2020

Проблема в том, что одна из ваших зависимостей зависит от устаревшей версии моей библиотеки. Вы можете либо добавить "svjsl": "^1.8.4" к объекту "devDependencies", либо задать для каждого вхождения "svjsl" в файле "package-lock. json" версию "^1.8.4" и целостность "sha512-U+RX1x7Tslxx68GAr1F9wBaRAjCA9cFliOSOvtWqVuVg0IRUdStsMYah/3Q8gluRomD/h3co7q4MYU62kTwzmA==".
Также было бы неплохо узнать, какой пакет зависит от устаревшей версии, и связаться с автором этого пакета, чтобы сообщить им обновить svjsl до более новой версии.

0 голосов
/ 15 марта 2020

"minimist": {"version": "0.0.10",} в блокировке пакета. json вызывает проблему ^^. https://nvd.nist.gov/vuln/detail/CVE-2020-7598

Исправление Обновление до минимума до версии 1.2.2 или новее. Например:

"зависимости": {"минимист": "> = 1.2.2"}

или…

"devDependencies": {"минимист": " > = 1.2.2" }

...