问题标签 [npm-audit]

我想npm audit > audit.log在我的管道中作为命令行脚本的一部分运行。这样做的目的是解析审计文件以查找有关漏洞的详细信息。

但是，当我这样做时，管道失败，没有详细的错误消息。

我还尝试仅npm audit在我的脚本中运行，但也失败并显示相同的消息，但至少我可以看到我从审计中获得了完整的输出。

使用 npm 查看此控制台输出。首先，当我运行npm audit它时，它告诉我我需要从 降级react-scripts@4.0.3，react-scripts@3.4.4因为新版本存在所谓的漏洞？

所以我遵循npm并运行的建议npm audit fix --force，它降级到react-scripts@0.9.5然后告诉我现在有 48 个漏洞（最初是 27 个）可以通过升级到react-scripts@4.0.3.

因此，通过运行此npm audit fix --force命令，我最终陷入了无休止的漏洞循环。

我看到 npm 上有一个未解决的问题https://github.com/npm/cli/issues/3472

是否有任何一种黑客修复程序可以使这些错误消失，即使是暂时的？这是 npm 的错误，对吗？

我的版本，供参考

在运行 NPM 审计后，我发现了 5 个关键问题。我已经尝试更新 @storybook/addon-essentials&@storybook/react以解决其中的 4 个问题，正如他们所说的那样patched in >=x.x.x，这对我来说意味着它们至少在最新版本中得到了解决。

我跑了npm i @storybook/addon-essentials@latest @storybook/react@latest，可以看到 package.json（和锁）有最新版本，但再次运行审计显示相同的严重漏洞。

为了解决这些问题，我是否需要更新其他内容，或者在更新到最新版本时我做错了什么？

还有一些中度和高度漏洞，但我已经抓住了关键，以便现在专注于它们

我还应该补充一点，我们正在为我们的 npm 安装使用私有注册表，但它不支持审计，因此必须npm audit --registry=https://registry.npmjs.org针对 NPM 注册表运行。不确定这是否会有所作为。

我有这个配置：

FWIW 我在 macOS 10.15.17 上，Node.js 是通过 MacPorts 安装的。

当我运行npm install或npm install --package-lock-only没有package-lock.json创建时。但是，有这样的：

该日期在最后 10 分钟内。我已删除node_modules并重新运行安装。而且，我已经跑了npm cache clean --force。

当我运行npm install输出时，会谈到一些中等严重程度的漏洞。我显然想了解更多，但得到这个：

运行npm audit fix或npm audit fix --force不改变任何东西。

第一条消息 - 需要一个锁定文件 - 为什么还不够node_modules/.package-lock.json好？

调试日志不包含任何有用的信息。

我已经阅读了有关 stackoverflow 和其他地方的几篇帖子，并收集了推荐的信息。假设使用此配置，应该创建文件，然后npm audit会很高兴。但是，事实并非如此。

我不熟悉解决依赖问题。我在运行“npm install”后看到了一些漏洞，所以我按照建议运行了“npm audit fix”。我收到这个错误

在我看来，我有 babel-eslint@10.1.0 但 eslint-config-react-app@3.0.8 需要 babel-eslint@9.x 但我不完全确定如何解决这个问题。我应该更新 eslint-config-react-app@3.0.8 吗？

这是我的 package.json

请帮我解决这个问题！

我正在使用以下自定义命令对我的 Azure Pipeline 构建使用 NPM 审计

这里的想法是，如果审计发现任何关键问题，我只想让这一步失败。

在命令行中本地使用此命令可以正常工作。但是在管道中将其作为自定义 npm 命令运行仍然会导致完整的 npm 审计运行并返回一些导致步骤失败的中等错误。

我觉得我在命令上遗漏了一些格式，但我不确定它是什么。

是否有其他人有在管道中使用 NPM 审计同时成功抑制某些错误严重性的经验？

我有一个 powershell 脚本，可以找出 npm 依赖项中的漏洞。我正在收到一份报告，我在某些部分也使用了 ConvertTo-Html，但我想使用 html 和 css 来增加相同的可读性并创建一个适当的报告。我试图解析输出并从中创建一个 HTML，但无法使用正确的格式。我对它有点陌生，所以需要一些帮助。

下面是脚本中的一个函数。

我已经更新了 angular cli 并创建了一个带有路由和 scss 的新项目。

当我运行 npm install 我看到：

我使用了第一个命令npm audit fix，它向我展示了这个：

之后我启动了npm audit fix --force

现在我有

而且我也无法启动该项目

我应该忽略这些错误还是有办法解决它？我在漏洞中看到了 postcss 的提及，我应该使用除 scss 之外的其他东西吗？

我需要一些帮助来理解和正确纠正我在 Angular 项目上运行 npm 审计（或只是 npm 安装）时看到的漏洞。我刚刚从 Angular v12 更新到 v13，列出了几个漏洞。请注意，我已经运行了“npm install”和“npm update”，但仍然收到这些审计警告。问题是，我不明白我可以通过更新包来修复哪些漏洞，而不会导致 Angular 出现问题。我开始对此进行调查，并注意到我的角度依赖项甚至没有列出 npm 审计调用的旧版本，所以显然我什至不明白这一点。

下面是我在工作区中运行“npm audit”时为 postcss 包显示的 20 多个审计警告的 6 个示例。但是，在我的 package-lock.json 文件中，“@angular-devkit/build-angular”有一个“需要”列表，其中包括：

我有很多问题......首先，postcss 被列为 8.4.4，所以我不明白为什么我会根据审计警告安装 8.2.13 之前的版本。但是，审计警告说“路径 @angular-devkit/build-angular > postcss-preset-env > autoprefixer > postcss”...这是否意味着 postcss-preset-env 是使用旧版本的不同包postcss 包作为它自己的依赖项？更重要的是，这是否表明需要旧版本（在这种情况下为 6.7.0），如果我更新此版本或运行审计修复，我没有满足这里的依赖关系？毕竟，没有插入符号 (^6.7.0)，所以它似乎表示特定版本。我只是不知道我可以或应该在这里做什么。我解决了其他“高” 与角度无关的漏洞，但我该怎么处理这些漏洞？我可以在不破坏我的应用程序的情况下修复它们吗？什么命令实际上会更新 postcss-preset-env？我是否应该忽略这些警告，因为 Angular 团队已经在他们的版本中审查并继续执行？

我是 Maven 新手，所以这可能是一个简单的问题。Node 和 npm 是通过一个 maven pom 文件安装的。我想通过 Maven 执行节点以类似的方式运行 npm audit。这可能吗？如果是这样，最好在哪个生命周期阶段执行？