Как исправить уязвимости Seriate и Lodash

Question

Для моего проекта я использовал один пакет, Seriate.

npm install seriate

Тем не менее, выполнение этого дает следующий результат:

найдено 17 уязвимостей (9 слабых, 1 умеренный, 7 высоких)

Я бегал npm audit и npm audit fix пока ничего.Я также изучил зависимости, кажется, что у Lodash есть проблема безопасности (предположительно исправленная в 4.17.11).

Как я могу это исправить?Я попытался обновить lodash следующим образом: npm install lodash@4.17.11 однако это тоже не сработало.

Кроме того, стоит ли беспокоиться об этом, он работает с локального сервера, который сам по себе безопасен?

спасибо за любую помощь

Answer 1

Проблемы безопасности, обнаруженные npm audit, не могут быть исправлены автоматически (т. Е. Путем изменения версий пакетов на эквивалентные безопасные версии), они требуют ручной проверки, поэтому не могут быть решены просто npm audit fix. npm audit fix --force было бы вариантом (осторожно: вносит серьезные изменения!), Но для меня это не исправило ни одной из 17 проблем.

При установке текущей версии seriate, lodash@4.7.11 уже требуется / установлен, поэтому npm i lodash@4.7.11 ничего не изменит.

Являются ли эти проблемы опасными или нет в вашем случае, на самом деле потребуется расследование с вашей стороны. Обратите внимание, что это не потому, что lodash небезопасно, что использование lodash - только в определенных случаях, только на определенных машинах, только для определенных функций и т. Д. Начните с чтения рекомендаций NPM, связанных с проблемами безопасности (например, этот ).