我刚刚从 NPM 安装了 Flickity,并在运行后得到了 NPM 审计安全报告,npm audit
指出我在包tar上存在关于任意文件覆盖的高漏洞问题,这是node-sass的依赖项,如您在此处看到的:
High......................... Arbitrary File Overwrite
Package...................... tar
Patched in................... >=4.4.2
Dependency of................ node-sass [dev]
Path......................... node-sass > node-gyp > tar
More info.................... https://npmjs.com/advisories/803
运行npm audit fix
并没有解决问题,因为漏洞需要人工审查。更多信息链接上的建议说升级到版本4.4.2
或更高版本。当我跑步时,npm show tar version
我意识到我正在运行版本4.4.8
,这让我很困惑。我去package-lock.json
实现了node-gyp,它是node-sass的一个依赖,使用的是tar版本^2.0.0
这让我很困惑,因为我已经看到许多不同的 tar 版本作为其他包的依赖项,但这node-sass > node-gyp > tar version
是唯一的一个v4.4.2
。为什么它会这样工作,为什么我必须手动修复它以及如何手动修复/升级这个 tar 包?