我正在参与一个开源项目,该项目目前使用 phantom.js 作为开发依赖项。npm audit显示 phantom.js 有 13 个漏洞,并且一些依赖链有些长:
Moderate Prototype Pollution
Package hoek
Patched in > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of phantomjs [dev]
Path phantomjs > request > hawk > sntp > hoek
More info https://npmjs.com/advisories/566
我正在考虑建议对 phantomjs 和底层包进行一些更新,但是 npm audit 提供的信息没有那么有用:
- 他们建议
hoek5.0.3 或更高版本会很好, - 但他们没有显示
sntp使用的版本, - 如果有更高版本
sntp使用 的安全版本hoek, - 和同样
hawk的request
更新request到一些较新的版本可能会立即修复 phantomjs 的漏洞,而不建议对或进行任何更新hawk,但认为这听起来像是很多手动工作。是否有任何工具可以帮助找到修复报告的漏洞的最短方法?
(我知道盲目更新实际上可能会引入新的错误/其他漏洞,但至少我们可以得到如何进行的建议)sntphoek