极客观点
项目管理
HarmonyOS
当我运行 npm install 它说 found 33 vulnerabilities (2 low, 31 moderate)
run `npm audit fix` to fix them, or `npm audit` for details 。
但是, npm audit fix 输出 up to date in 11s
fixed 0 of 33 vulnerabilities in 24653 scanned packages
33 vulnerabilities required manual review and could not be updated
那 review 是否意味着它不应该由用户修复?
当我运行 npm audit 它给了我表格列表,类似于:
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ browser-sync [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ browser-sync > easy-extender > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577 │
└───────────────┴──────────────────────────────────────────────────────────────┘
在此示例中,链接页面的修复部分显示 Update to version 4.17.5 or later. 。但是,在 /node_modules/browser-sync/package.json 中有几行:
"devDependencies": {
"lodash-cli": "4.17.5",
}
并且不再有 lodash 依赖项。所以它应该已经是 v4.17.5。我还检查了 /node_modules/lodash/lodash.json 有 var VERSION = '4.17.10'; 行。在 /node_modules/lodash/package.json 中有这些行:
"_from": "lodash@^4.17.4",
"_id": "lodash@4.17.10",
我相信“_id”中显示的版本,而不是“_from”中显示的版本,所以版本是正确的,但漏洞仍然出现在审核列表中。
我还是 node.js 的新手,这些消息让我很困惑。有没有办法手动修复它或摆脱那些消息,我无能为力?
原文由 Jakupov 发布,翻译遵循 CC BY-SA 4.0 许可协议
lodash-cli在devDependencies不会影响browser-sync在您的项目中的工作方式,devDependenciesa 依赖项在安装时会被忽略audit报告说的是easy-extender有lodash依赖:它 取决于 Lodash 3 ,而问题已在 Lodash 4 中得到解决。问题可以通过分叉
easy-extender来解决,更新并安装它而不是从 NPM 公共注册表中安装包。但是这种依赖并没有真正的问题。audit报告重要性应手动评估。即使嵌套依赖存在安全风险,但这并不意味着使用了引入此风险的功能。这也不意味着即使使用它,由于使用方式也会带来真正的风险。browser-sync是一个不用于生产的开发工具,它的漏洞可以利用的场景并不多。而且 原型污染 根本不是一个漏洞,只是一个包没有遵循良好实践的通知,它可以被忽略。通常,这是修复报告的漏洞的方法:
大多数情况下,您不会超越健全性检查,唯一的问题是“漏洞”会使审计报告变得混乱并隐藏真正的漏洞。
patch-package可以帮助就地修补嵌套依赖项,但这不会影响报告。可以使用
resolutions字段 在 Yarn 1 和 2 中的嵌套依赖项中强制特定依赖项版本,这将影响审计报告。将来可能会 在 NPM 中本地 执行此操作。目前 NPM 中的替代方案是第三方npm-force-resolutions提供较少控制的实用程序,目前它强制解决 所有依赖项,而不是特定依赖 项。请注意,通过强制依赖项使用它不是设计为使用的嵌套依赖项,它可能随时被破坏。这尤其适用于
npm-force-resolutions,这是一个生硬的工具,可以同时影响许多嵌套依赖项。