下面有一個完整的細分npm audit。
到目前為止,我們已經嘗試npm audit fix了深度,我們嘗試了收縮包裝并手動將相關版本號更改為 GitHub 建議的已修復版本(6.0.1)。
即使在手動洗掉、重新安裝等之后, npm install 也會將軟體包重置為 5.0.1。
下面是 npm 審計的輸出。
───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Inefficient Regular Expression Complexity in │
│ │ chalk/ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=5.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-sass │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-sass > sass-graph > yargs > string-width > strip-ansi > │
│ │ ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-93q8-gq69-wqmw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Inefficient Regular Expression Complexity in │
│ │ chalk/ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=5.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-sass │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-sass > sass-graph > yargs > cliui > string-width > │
│ │ strip-ansi > ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-93q8-gq69-wqmw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Inefficient Regular Expression Complexity in │
│ │ chalk/ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=5.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-sass │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-sass > sass-graph > yargs > cliui > wrap-ansi > │
│ │ string-width > strip-ansi > ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-93q8-gq69-wqmw │
└───────────────┴──────────────────────────────────────────────────────────────┘
我們如何正確更新這個最好的依賴以避免 npm 審計問題?
uj5u.com熱心網友回復:
老實說,您最好的方法是選擇不擔心這一點。node-sass大概是開發依賴項,而不是您要交付給用戶的東西。您不會意外地設法包含導致 ansi-regex 運行效率低下的字串。即使您這樣做了,也不會關閉您的服務器。這將使您的構建管道花費比您希望的更長的時間。
在撰寫本文時,node-sass沒有其他依賴項的全新安裝(最新版本為 6.0.1)仍會導致ansi-regex安裝易受攻擊的漏洞。因此,您必須進行一些特殊的惡作劇才能解決問題。雖然這些惡作劇在您的生產服務器上安裝漏洞可能是值得的,但在這種情況下這樣做可能意味著花費大量精力為一些非問題的東西創建一個潛在的脆弱修復。
因此,我強烈建議您等待下一個版本node-sass(將是 6.0.2、6.1.0 或 7.0.0 之一)并希望它解決了問題,如果沒有,請不要太擔心'不。
uj5u.com熱心網友回復:
您可以使用NPM-力的決議包在preinstall你的腳本package.json。從檔案:
這個包修改了 package-lock.json 以強制安裝特定版本的傳遞依賴(dependency of dependency)
這正是為我解決問題的方法(經過數天的頭撞墻):
在package.json:
...
"scripts": {
"preinstall": "npx npm-force-resolutions"
},
"resolutions": {
"ansi-regex": "5.0.1"
},
...
然后npm i應該安裝沒有漏洞。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/329252.html
標籤:节点.js 新产品经理 npm 安装 节点sass npm-审计
上一篇:在React.js專案中啟動本地主機服務器時出現npmstart錯誤
下一篇:如何做一個組的總和?