Уязвимость в узле-sass для fstream и tar

Question

Это моя зависимость узла-гипа в package-lock.json

"node-gyp": {
      "version": "3.8.0",
      "resolved": "http://nexus.prod-admin11.vip.aws1/nexus/content/groups/npm-edmunds/node-gyp/-/node-gyp-3.8.0.tgz",
      "integrity": "sha512-3g8lYefrRRzvGeSowdJKAKyks8oUpLEd/DyPV4eMhVlhJ0aNaZqIrNUIPuEWWTAoPqyFkfGrM67MC69baqn6vA==",
      "dev": true,
      "requires": {
        "fstream": "^1.0.0",
        "glob": "^7.0.3",
        "graceful-fs": "^4.1.2",
        "mkdirp": "^0.5.0",
        "nopt": "2 || 3",
        "npmlog": "0 || 1 || 2 || 3 || 4",
        "osenv": "0",
        "request": "^2.87.0",
        "rimraf": "2",
        "semver": "~5.3.0",
        "tar": "^2.0.0",
        "which": "1"
      },
      "dependencies": {
        "semver": {
          "version": "5.3.0",
          "resolved": "http://nexus.prod-admin11.vip.aws1/nexus/content/groups/npm-edmunds/semver/-/semver-5.3.0.tgz",
          "integrity": "sha1-myzl094C0XxgEq0yaqa00M9U+U8=",
          "dev": true
        }
      }
    },

Я получаю высокую уязвимость при запуске аудита пряжи в следующих пакетах:

узел-sass> node-gyp> tar

node-sass> node-gyp> tar> fstream

node-sass> node-gyp> fstream

Answer 1

Обе эти уязвимости исправлены в минорных версиях. Возможно, вам придется удалить файл блокировки и переустановить его, если вы хотите получить последние версии зависимостей.