В моем угловом проекте я запускаю npm audit, чтобы проверить слабые места в безопасности, основываясь на документации, я могу понять большую часть отчета.
Но не полностью понимаю часть manual review, связанный отчет выглядит следующим образом:
# Run npm install jquery@3.4.1 to resolve 2 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
Moderate Prototype Pollution
Package jquery
Dependency of jquery
Path jquery
More info https://nodesecurity.io/advisories/796
High Cross-Site Scripting (XSS)
Package jquery
Dependency of jquery
Path jquery
More info https://nodesecurity.io/advisories/328
Manual Review
Some vulnerabilities require your attention to resolve
Visit https://go.npm.me/audit-guide for additional guidance
Moderate Prototype Pollution
Package jquery
Patched in >=3.4.0
Dependency of ms-signalr-client
Path ms-signalr-client > jquery
More info https://nodesecurity.io/advisories/796
High Cross-Site Scripting (XSS)
Package jquery
Patched in >=3.0.0
Dependency of ms-signalr-client
Path ms-signalr-client > jquery
More info https://nodesecurity.io/advisories/328
, поэтому я понимаю: jquery имеет некоторые проблемы с безопасностью, а jquery - это зависимостьms-signalr-client.И я также проверил, что ms-signalr-client используется в dependency, а не devDependency в package.json.Поэтому мне нужно это исправить, так как это влияет на производственный код.Правильно?
Таким образом, SEMVER WARNING означает, что если я обновлю jquery до 3.4.1, то ms-signalr-client может сломаться.Правильно?
А что я могу сделать?Следующим шагом является поддержка ms-signalr-client обновленной jquery, верно?
Так что же лучше для этого делать?Мой текущий план сейчас пропускает.Спасибо.