исправление уязвимости dot-prop в docker файловом узле npm

Question

FROM ubuntu:18.04

RUN apt-get update \
 && apt-get install -y \
    curl \
    gnupg \
    gcc \
    g++ \
    make
RUN curl -sL https://deb.nodesource.com/setup_lts.x | bash - \
    && apt install -y nodejs \
    && rm -rf /var/lib/apt/lists/*

Я хочу обновить только версию dot-prop до 5.2.0, без изменения пакета npm,

-- npm@6.14.6
  +-- abbrev@1.1.1
  +-- ansicolors@0.3.2
  +-- ansistyles@0.
    ........
    ,.........
| +-- configstore@3.1.2
  | | +-- dot-prop@4.2.0

Поэтому я добавил следующую команду.

RUN npm install dot-prop@5.2.0 -g

Теперь есть две его версии,

1-я версия - это последняя версия, которую я установил

    /usr/lib
+-- dot-prop@5.2.0
| `-- is-obj@2.0.0
`-- npm@6.14.6
  +-- abbrev@1.1.1

2-я версия внутри npm зависимость

-- npm@6.14.6
      +-- abbrev@1.1.1
      +-- ansicolors@0.3.2
      +-- ansistyles@0.
        ........
        ,.........
    | +-- configstore@3.1.2
      | | +-- dot-prop@4.2.0

Как мне изменить версию dot-prop внутри npm, поскольку существует версия 4.2.0, поэтому отчет twistlock пометит ее как уязвимую, хотя я установил последнюю версию?

Answer 1

Из того, что я нашел, dot-prop, если часть configstore, которая является частью update-notifier и включена в NPM. Итак, я предполагаю, что для обновления dot-prop необходимо обновить все пакеты, чтобы они указывали на новую версию dot-prop.

Я пробовал RUN npm update -g dot-prop и не обновлял его

Необходимо обновить диспетчер пакетов узлов. Даже последняя версия, которая обновлялась 15 дней, а go все еще указывает на ту же версию dot-prop.

https://github.com/npm/cli/blob/latest/package-lock.json#L854

PR был создан для это исправлено в NPM CLI https://github.com/npm/cli/pull/1682