文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >preact-cli具有高度严重的漏洞,npm审计修复循环运行(3.0.5 <-> 2.2.1)

preact-cli具有高度严重的漏洞,npm审计修复循环运行(3.0.5 <-> 2.2.1)
EN

Stack Overflow用户
提问于 2021-01-29 12:07:18
回答 1查看 375关注 0票数 1

我正在用preact -cli建立一个预演项目:

代码语言:javascript
复制
npx --version # 7.4.0
npx preact-cli create typescript frontend

这告诉我:

代码语言:javascript
复制
...
added 1947 packages, and audited 1948 packages in 31s

129 packages are looking for funding
  run `npm fund` for details

3 high severity vulnerabilities

To address all issues (including breaking changes), run:
  npm audit fix --force

Run `npm audit` for details.
✔ Done!

3仅运行默认设置后的高安全性漏洞!?

听起来不太放心。

代码语言:javascript
复制
npm audit fix

...
fix available via `npm audit fix --force`
Will install preact-cli@2.2.1, which is a breaking change

好的,那么很明显npm的修正想要降级前-cli。那我们走吧:

代码语言:javascript
复制
npm audit fix --force

...

fix available via `npm audit fix --force`
Will install preact-cli@3.0.5, which is a breaking change
node_modules/preact-cli/node_modules/webpack-dev-server/node_modules/yargs-parser
node_modules/preact-cli/node_modules/yargs-parser
  yargs  4.0.0-alpha1 - 12.0.5 || 14.1.0 || 15.0.0 - 15.2.0
  Depends on vulnerable versions of os-locale
  Depends on vulnerable versions of yargs-parser
  node_modules/preact-cli/node_modules/webpack-dev-server/node_modules/yargs
  node_modules/preact-cli/node_modules/yargs
    preact-cli  1.0.0 - 3.0.0-next.3
    Depends on vulnerable versions of extract-text-webpack-plugin
    Depends on vulnerable versions of url-loader
    Depends on vulnerable versions of yargs
    node_modules/preact-cli
    webpack  2.1.0-beta.8 - 4.0.0-alpha.0
    Depends on vulnerable versions of yargs
    node_modules/preact-cli/node_modules/webpack
      extract-text-webpack-plugin  2.0.0-beta.0 - 3.0.2
      Depends on vulnerable versions of webpack
      node_modules/preact-cli/node_modules/extract-text-webpack-plugin
      webpack-dev-server  2.0.0-beta - 3.10.3
      Depends on vulnerable versions of webpack
      Depends on vulnerable versions of yargs
      node_modules/preact-cli/node_modules/webpack-dev-server

17 vulnerabilities (7 low, 8 moderate, 2 high)

啊,是的,降级到2.2.1带来了新的漏洞。这些问题可以通过取消降级并恢复到3.0.5来解决。

这是一个循环,npm审计修复-强制只是在3.0.5和2.2.1版本的preact-cli之间来回切换。

一些上下文:,这似乎是一个已知的问题

preact-cli
javascript
typescript
npm
preact
EN

回答 1

Stack Overflow用户

发布于 2021-03-13 11:44:13

在这里晚些时候( CLI已经关闭了),但是对于上下文,2.2.1已经有几年的历史了,并且依赖关系是构建时的依赖。构建时间依赖没有风险,尤其是这个,因为它只是用来报告构建的包大小的变化。

总是看看npm audit到底在抱怨什么。如果它只是构建时间,你可以忽略它。

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/65954183

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档