docker文件节点npm中的dot-prop漏洞修复
docker文件节点npm中的dot-prop漏洞修复
提问于 2020-08-05 20:24:22
FROM ubuntu:18.04
RUN apt-get update \
&& apt-get install -y \
curl \
gnupg \
gcc \
g++ \
make
RUN curl -sL https://deb.nodesource.com/setup_lts.x | bash - \
&& apt install -y nodejs \
&& rm -rf /var/lib/apt/lists/*我想单独将dot-prop版本升级到5.2.0,而不需要更改npm包。
-- npm@6.14.6
+-- abbrev@1.1.1
+-- ansicolors@0.3.2
+-- ansistyles@0.
........
,.........
| +-- configstore@3.1.2
| | +-- dot-prop@4.2.0因此,我添加了以下命令。
RUN npm install dot-prop@5.2.0 -g
现在有两个版本,
第一个版本是我安装的最新版本
/usr/lib
+-- dot-prop@5.2.0
| `-- is-obj@2.0.0
`-- npm@6.14.6
+-- abbrev@1.1.1npm依赖中的第2个版本
-- npm@6.14.6
+-- abbrev@1.1.1
+-- ansicolors@0.3.2
+-- ansistyles@0.
........
,.........
| +-- configstore@3.1.2
| | +-- dot-prop@4.2.0我如何在npm中更改dot-prop的版本,因为有4.2.0版本,那么即使我安装了最新版本,twistlock报告也会将其标记为易受攻击吗?
回答 1
Stack Overflow用户
发布于 2020-08-05 23:55:24
据我所知,dot-prop是configstore的一部分,它是update-notifier的一部分,也包含在NPM中。因此,我猜测要更新dot-prop,所有的包都需要更新以指向新版本的.
我试过RUN npm update -g dot-prop,但没有更新
需要更新节点包管理器。即使是15天前更新的最新版本仍然指向相同的dot-prop版本。
https://github.com/npm/cli/blob/latest/package-lock.json#L854
已为NPM CLI https://github.com/npm/cli/pull/1682中的修复程序创建PR
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/63265147
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号