超级代理安全漏洞

Question

从GitHub收到警告，超级特工v3.5.2的安全风险很低。超级代理是与square-connect npm一起安装的依赖项。这是手动升级，还是应该单独使用，因为从Square下载了这个API。

Known low severity security vulnerability detected in superagent <3.7.0 defined in package-lock.json.
package-lock.json update suggested: superagent ~> 3.7.0.

应用程序运行时具有以下依赖关系：

"square-connect": "^2.20180918.0"

Answer 1

我认为最好是直接在他们的集散地上公开一个问题。

如果通过测试，甚至可以提交带有升级依赖项的拉请求。

如果这是手动升级

AFAIK没有用npm覆盖嵌套依赖项的标准方法。即使您使用npm install superagent@3.7.0，它仍然将另一个版本保留为square-connect的依赖项。

纱线通过package.json中的resolutions条目支持它

{
  "resolutions": {
    "superagent": "3.7.0"
  }
}

但这不适用于npm。