在使用Vue时,我应该关注NPM的漏洞吗?
我刚刚安装了@Vue-cli,并决定使用Vue3创建我的第一个项目。在运行vue create hello-world并完成项目构建之后,cli表示7 moderate severity vulnerabilities
这些有多糟?moderate是非常主观的。我试着运行npm audit fix --force,而不是28 vulnerabilities (16 moderate, 12 high)。
这仅仅是你应该接受并希望没有人利用这些漏洞的事情之一吗?
在运行npm审计之后,它说:
# npm audit report
ansi-regex >2.1.1 <5.0.1
Severity: moderate
Inefficient Regular Expression Complexity in chalk/ansi-regex - https://github.com/advisories/GHSA-93q8-gq69-wqmw
fix available via `npm audit fix --force`
Will install @vue/cli-service@4.5.17, which is a breaking change
node_modules/log-update/node_modules/ansi-regex
strip-ansi 4.0.0 - 5.2.0
Depends on vulnerable versions of ansi-regex
node_modules/log-update/node_modules/strip-ansi
string-width 2.1.0 - 4.1.0
Depends on vulnerable versions of strip-ansi
node_modules/log-update/node_modules/string-width
wrap-ansi 3.0.0 - 6.1.0
Depends on vulnerable versions of string-width
Depends on vulnerable versions of strip-ansi
node_modules/log-update/node_modules/wrap-ansi
log-update 2.1.0 - 3.4.0
Depends on vulnerable versions of wrap-ansi
node_modules/log-update
progress-webpack-plugin *
Depends on vulnerable versions of log-update
node_modules/progress-webpack-plugin
@vue/cli-service >=5.0.0-alpha.0
Depends on vulnerable versions of progress-webpack-plugin
node_modules/@vue/cli-service在我看来,这一切都归结为Inefficient Regular Expression Complexity in chalk/ansi-regex。
处理这件事的正确方法是什么?让它变得简单还是像更新包一样容易呢?
回答 1
Stack Overflow用户
发布于 2022-03-24 08:38:09
除了我的另一个答案,我还要补充说,现在的一切都很棘手。这本身是个问题吗?因为你不是真的发射火箭。
是不是很恐怖?是的,也许是因为听起来是这样的,但最后,如果你的公司里有人打开了一封钓鱼邮件,你就暴露了,所以是的:过你的生活,不要太担心它。
另外,还有一个提醒:您安装的每个包在某个点和各个步骤中都可能是恶意的。如果你想要一个100%的防弹代码库,你需要自下而上地写出所有的东西。
https://stackoverflow.com/questions/71599108
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号