Правильный способ исправить потенциальную уязвимость безопасности в зависимости, определенной в package-lock.формат JSON

Question

Правильный способ исправить потенциальную уязвимость безопасности в зависимости, определенной в package-lock.формат JSON

Github дал мне эту ошибку в одном из моих репозиториев.

We found a potential security vulnerability in one of your dependencies.
A dependency defined in ./package-lock.json has known security vulnerabilities 
and should be updated.

зависимость не определена в нашем . Насколько я понимаю, удалять package-lock.json файл и восстановить его. Однако, я не вижу другого способа решить эту проблему. Если я отклоню эту уязвимость безопасности, она появится снова через пару дней. Есть идеи? Спасибо!

34

github npm package-lock.json

автор: Kaito

4 ответов

автор: Jo Takion · Accepted Answer · 2018-06-02 08:44:51

вы должны попытаться определить название проблемного пакета, а затем запустить

npm install package-name

замена имени пакета, очевидно.

это установит последнюю версию пакета, и очень часто последняя версия исправила проблему безопасности. Если у вас есть ограничение на версию (например: 1.2), попробовать всегда можно:

npm install package-name@^1.2

и последняя исправленная версия будет установлен

New: теперь, с npm@6 Вы можете напрямую запустить

npm audit fix

автор: RileyManda · Accepted Answer · 2018-06-29 19:28:22

чтобы решить эту проблему:

Решение 1: Сначала найдите уязвимость: использование вашего терминала: cd в ваш проект, затем запустить "npm ls hoek"

и, наконец,: npm установить bcrypt@latest

затем нажмите обновленный проект в git.(Я. e выполните новую фиксацию).

решение 2:

если первый вариант/решение не устраняет проблему.Изменить версию вручную в вашем пакете-блокировка.формат JSON. Измените версию вручную с 2.16.3 на 4.2.1

"hoek": {
      "version":  "4.2.1",
      "resolved": "https://registry.npmjs.org/hoek/-/hoek-4.2.1.tgz",
      "integrity": "sha1-ILt0A9POo5jpHcRxCo/xuCdKJe0=",
      "dev": true

затем обновите свой проект на GitHub(commit/push) Просто убедитесь, что каждое появление версии hoek в вашем пакете-lock.версия json изменена на 4.2.1

в качестве альтернативы, если вы можете найти способ изменить версию hoek / обновить hoek с помощью npm, все будет намного проще.(что-то вроде : обновление npm @hoek..версия)..или удалите конкретную зависимость затем переустановите его с помощью bower или npm.

автор: VonC · Accepted Answer · 2018-03-31 04:16:08

насколько я понимаю, удалять блокировку пакета не рекомендуется.JSON файл и восстановить его.

но, это то, что обычно делается в этом случае.
См., например,угловой / угловой-CLI выпуск 8534, который решается PR 8535.
Это приводит к зависимому проекту, такому как frees-io/freestyle-opscenter-webclient to обновить package-lock.json: PR 31.

автор: adrianmc · Accepted Answer · 2018-08-31 18:57:49

самый простой/простой способ исправить это:

npm install <dep>
npm uninstall <dep>
npm update
npm install

From:https://github.com/Microsoft/vscode/issues/48783#issuecomment-384873041