Question

Зависимости моего проекта pakcage.json:

"dependencies": {
    "@babel/cli": "^7.0.0-beta.51",
    "@babel/core": "^7.0.0-beta.51",
    "@babel/preset-env": "^7.0.0-beta.51",
    "babel-loader": "^8.0.0-beta.4",
    "babel-plugin-add-module-exports": "^1.0.0",
    "babel-plugin-istanbul": "^5.1.0",
    "babel-preset-env": "^7.0.0-beta.3",
    "babel-register": "^7.0.0-beta.3",
    "build": "^0.1.4",
    "jsdom": "^14.0.0",
    "jsdom-global": "3.0.2",
    "moment": "^2.24.0",
    "nyc": "^13.1.0",
    "rimraf": "^2.6.3",
    "webpack": "^4.12.2",
    "webpack-cli": "^3.0.8",
    "yargs": "^13.2.2"
},

Когда я запускаю "npm i", я все равно вижу:

audited 14173 packages in 5.084s
found 6 vulnerabilities (4 low, 1 moderate, 1 critical)
  run `npm audit fix` to fix them, or `npm audit` for details

Когда я запускаю "аудит npm":

                       === npm audit security report ===                        


                                 Manual Review                                  
             Some vulnerabilities require your attention to resolve             

          Visit https://go.npm.me/audit-guide for additional guidance           


  Moderate        Denial of Service                                             

  Package         js-yaml                                                       

  Patched in      >=3.13.0                                                      

  Dependency of   build                                                         

  Path            build > jxLoader > js-yaml                                    

  More info       https://npmjs.com/advisories/788                              


  Critical        Deserialization Code Execution                                

  Package         js-yaml                                                       

  Patched in      >= 2.0.5                                                      

  Dependency of   build                                                         

  Path            build > jxLoader > js-yaml                                    

  More info       https://npmjs.com/advisories/16                               


  Low             Incorrect Handling of Non-Boolean Comparisons During          
                  Minification                                                  

  Package         uglify-js                                                     

  Patched in      >= 2.4.24                                                     

  Dependency of   build                                                         

  Path            build > uglify-js                                             

  More info       https://npmjs.com/advisories/39                               


  Low             Regular Expression Denial of Service                          

  Package         uglify-js                                                     

  Patched in      >=2.6.0                                                       

  Dependency of   build                                                         

  Path            build > uglify-js                                             

  More info       https://npmjs.com/advisories/48                               


  Low             Regular Expression Denial of Service                          

  Package         braces                                                        

  Patched in      >=2.3.1                                                       

  Dependency of   babel-register                                                

  Path            babel-register > babel-core > micromatch > braces             

  More info       https://npmjs.com/advisories/786                              


  Low             Regular Expression Denial of Service                          

  Package         timespan                                                      

  Patched in      No patch available                                            

  Dependency of   build                                                         

  Path            build > timespan                                              

  More info       https://npmjs.com/advisories/533

Когда я пытаюсь запустить «исправление аудита npm», он говорит:

up to date in 4.704s
fixed 0 of 6 vulnerabilities in 14173 scanned packages
  6 vulnerabilities required manual review and could not be updated

Я уже пытался удалить файл «package-lock.json» и повторить попытку, уже пыталсяочистить кэш npm и попытаться обновить пакеты вручную, ни один из этих шагов, кажется, не работает.Кто-нибудь сейчас как это решить?Спасибо.

OrAssayag · Answer 1 · 28 марта 2019

Я наконец-то исправил это сам, обновил все пакеты до последней версии вручную и удалил пакет "build": "^ 0.1.4", так как он больше не обновляется.

NPM по-прежнему выдает предупреждения, npm audix fix не работает

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

NPM по-прежнему выдает предупреждения, npm audix fix не работает

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы