類似的問題有很多,但它們對我一點幫助都沒有。
我試圖擺脫關鍵漏洞。我已經運行了npm update、npm audit fix和npm audit fix --force很多次,但是它停滯了。我又看到了同樣的警告,盡管外面說這是一個可修復的問題。有什么方法可以完成它嗎?
>npm audit fix --force
npm WARN使用 --force Recommended保護措施被禁用。
npm WARN審計Updating更新到0.7.4,這是一個SemVer重大變化。
npm WARN廢棄了set-value@0.4.3。關鍵bug已修復在 v3.0.1,請升級到最新版本。
npm WARN deprecated set-value@0.4.3: Criticalbug修復in v3.0.1, 請升級到最新版本。
assign-deep <1.0.1。
嚴重程度: 高
原型 污染 - https://npmjs.com/advisories/1014
可通過`npm audit fix`修復。
set-value <=2.0.0 || 3.0.0
嚴重程度: 高
原型 污染 - https://npmjs.com/advisories/1012
可通過`npm audit fix --force`修復。
將安裝更新@0.4.2,這是一個突破性的變化
更新:在package.json中,我可以看到太多不同版本(甚至是0.2)的set-value。我已經把所有出現的版本<=2.0設定為2.0.1。測驗通過了。
uj5u.com熱心網友回復:
TL;DR: 嘗試npm uninstall update。
使用你鏈接到的repo中的package.json和npm@7,運行npm install,然后npm audit報告:
46漏洞(3低,11中度,32高
運行npm audit fix并沒有改變這一點,這確實令人不快,但也是一個已知的問題。
運行npm audit fix --force實際上在某種程度上使事情變得更糟糕:
55個漏洞(9低,10中度,36高
于是我用你的package.json重新開始,再次運行npm install和npm audit。npm audit的輸出包括:
set-value <=2.0.0 || 3.0.0
嚴重程度: 高
原型 污染 - https://npmjs.com/advisories/1012
可通過`npm audit fix --force`修復。
將安裝更新@0.7.4,這是一個突破性的變化
所以它想把update模塊更新到0.7.4版本,也就是最新版本。我是這樣手動操作的:
npm uninstall update & & npm install update
這得到了與npm audit fix --force相同的結果(漏洞增加),但我確實注意到,在卸載update之后,報告的漏洞為0。
$ npm uninstall update
洗掉了584個軟體包,并審核了870個軟體包 in 4s
56包正在尋找資金。
運行`npm fund` for details
發現 0 漏洞
$
查看更新的npm頁面,它本身已經5年沒有更新了。因此,也許用其他東西來替換這個包是你最好的選擇。
回到您的package.json,update包出現在您的dependencies中,這似乎是錯誤的,因為它似乎是一個命令列工具。對 repo 的快速掃描似乎表明它實際上并沒有被用于任何地方。
因此,我認為最好的解決方案是npm uninstall update。
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/319816.html
標籤: