如何修复npm依赖项中的漏洞?
通过给出npm audit,我得到了18个漏洞,然后我选择了标记为“高”的漏洞。
这是它的细节,
High Denial-of-Service Memory Exhaustion
Package qs
Patched in >= 1.x
Dependency of google-search-scraper
Path google-search-scraper > request > qs
More info https://nodesecurity.io/advisories/29 我们似乎需要更新请求包,所以我已经通过>npm i request安装了它。
接下来,审计命令再次给出相同的结果。
请帮帮忙,
谢谢
编辑
Moderate Prototype pollution
Package hoek
Patched in > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of botkit
Path botkit > botbuilder > jsonwebtoken > joi > hoek
More info https://nodesecurity.io/advisories/566 回答 2
Stack Overflow用户
发布于 2018-12-06 11:36:34
正如报告所述,qs漏洞已在1.x中修复。对于最新的request版本来说,这不是一个问题。google-search-scraper具有依赖于qs@~0.6.0的request@~2.33.0依赖项。无论项目中安装了哪个request版本,google-search-scraper都将继续使用包含漏洞的2.33.x版本。
google-search-scraper应该是分叉的,而不是原始的包,request依赖版本应该在叉子中更新,例如升级到request@^2.33.0。此外,还可以在包存储库中打开问题,并辅之以PR。
Stack Overflow用户
发布于 2022-04-12 14:32:37
一个对我有用的解决方案是最初创建JSON文件,这将是清单。在安装npm包之前,先从下面的npm init -y开始,这样您就可以同意JSON文件将添加的所有细节,然后您可以对它们进行编辑。
然后继续进行npm install <package name>
https://stackoverflow.com/questions/53649318
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号