github - 如何修复 Gatsby 开发博客中的安全漏洞？

Question

我有一个开发博客，我看到了 14 个安全警报，其中一些具有高严重性、严重严重性和中等严重性。

所以，我跑去npm audit看问题，它给了我这个。

found 1403 vulnerabilities (792 low, 17 moderate, 592 high, 2 critical) in 27197 scanned packages
  run `npm audit fix` to fix 1392 of them.
  11 vulnerabilities require manual review. See the full report for details.

那么，我该怎么办，npm audit fix？你如何处理这个问题？

例如，在报告中，我有这样的内容：

  Low             Validation Bypass                                             

  Package         kind-of                                                       

  Dependency of   gatsby-source-filesystem                                      

  Path            gatsby-source-filesystem > chokidar > readdirp > micromatch   
                  > kind-of                                                     

  More info       https://npmjs.com/advisories/1490

现在，我该如何解决这个问题？

Answer 1

您可以按照帮助文档中的说明解决安全漏洞。 https://help.github.com/en/github/managing-security-vulnerabilities/about-security-alerts-for-vulnerable-dependencies#investigating-and-resolving-a-vulnerability-in-a-dependency 一旦修复（或任何更改）被合并到默认分支（无论该分支在您的存储库中命名为什么），GitHub 将安排对您项目的依赖项的新扫描。发生这种情况后，漏洞警报应该会消失。检查的分支集是不可配置的。