我附上結果 npm 審計。自行解決問題的嘗試一無所獲。如果有人能解釋問題的本質,我將不勝感激。好久都修不了 也許解決方案簡單而合乎邏輯,但不幸的是,這對我來說并不明顯。
High Regular expression denial of service
Package glob-parent
Patched in >=5.1.2
Dependency of gulp [dev]
Path gulp > glob-watcher > chokidar > glob-parent
------------------------------------------------------------
High Prototype Pollution in set-value
Package set-value
Patched in >=4.0.1
Dependency of gulp [dev]
Path gulp > gulp-cli > matchdep > findup-sync > micromatch >
extglob > expand-brackets > snapdragon > base > cache-base >
union-value > set-value
錯誤在具有不同路徑的終端中重復出現。
uj5u.com熱心網友回復:
看看package.json您在評論中發布的內容,至少在撰寫本文時,您的所有問題都在開發依賴項中,而沒有一個在生產依賴項中。您可以通過npm audit --omit=dev它(在撰寫本文時)顯示 0 個漏洞來確認這一點。
此時,一個有效的選擇是決定不擔心npm. 例如,您極不可能通過glob-parent(如您提供的代碼段中所報告的那樣)觸發拒絕服務問題,并且在您這樣做的可能性很小的情況下,這將是您自己工具上的“拒絕服務”,而運行gulp。從字面上看,誰在乎?
但是如果你真的想擺脫這些東西:卸載gulp和check-dependencies. 前者已經 2 年沒有發布新版本,并且您沒有在package.json. 后者已經 4 年沒有發布新版本了,這不是你不能沒有的東西。您沒有在package.json. 如果您打算使用gulp,請考慮使用grunt(目前,安裝時報告 0 個漏洞)或常規npm腳本。
特爾;博士:
- 您可以選擇忽略這些。至少在撰寫本文時,它們都處于開發依賴項中。
- 如果您不想忽略它們,請洗掉
gulp和check-dependencies。反正你沒有使用它們,至少現在還沒有。
如果您正在學習教程,請務必忽略出于教程目的的警告或查找更新的教程。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/349758.html
上一篇:無法安裝n以更新node.js