问题标签 [npm-audit]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
node.js - npm 审计修复导致级联漏洞
使用 npm 查看此控制台输出。首先,当我运行npm audit
它时,它告诉我我需要从 降级react-scripts@4.0.3
,react-scripts@3.4.4
因为新版本存在所谓的漏洞?
所以我遵循npm
并运行的建议npm audit fix --force
,它降级到react-scripts@0.9.5
然后告诉我现在有 48 个漏洞(最初是 27 个)可以通过升级到react-scripts@4.0.3
.
因此,通过运行此npm audit fix --force
命令,我最终陷入了无休止的漏洞循环。
我看到 npm 上有一个未解决的问题https://github.com/npm/cli/issues/3472
是否有任何一种黑客修复程序可以使这些错误消失,即使是暂时的?这是 npm 的错误,对吗?
我的版本,供参考
javascript - 如何解决 NPM 审计漏洞?
在运行 NPM 审计后,我发现了 5 个关键问题。我已经尝试更新 @storybook/addon-essentials
&@storybook/react
以解决其中的 4 个问题,正如他们所说的那样patched in >=x.x.x
,这对我来说意味着它们至少在最新版本中得到了解决。
我跑了npm i @storybook/addon-essentials@latest @storybook/react@latest
,可以看到 package.json(和锁)有最新版本,但再次运行审计显示相同的严重漏洞。
为了解决这些问题,我是否需要更新其他内容,或者在更新到最新版本时我做错了什么?
还有一些中度和高度漏洞,但我已经抓住了关键,以便现在专注于它们
我还应该补充一点,我们正在为我们的 npm 安装使用私有注册表,但它不支持审计,因此必须npm audit --registry=https://registry.npmjs.org
针对 NPM 注册表运行。不确定这是否会有所作为。
npm - npm 审计失败找不到包锁
我有这个配置:
FWIW 我在 macOS 10.15.17 上,Node.js 是通过 MacPorts 安装的。
当我运行npm install
或npm install --package-lock-only
没有package-lock.json
创建时。但是,有这样的:
该日期在最后 10 分钟内。我已删除node_modules
并重新运行安装。而且,我已经跑了npm cache clean --force
。
当我运行npm install
输出时,会谈到一些中等严重程度的漏洞。我显然想了解更多,但得到这个:
运行npm audit fix
或npm audit fix --force
不改变任何东西。
第一条消息 - 需要一个锁定文件 - 为什么还不够node_modules/.package-lock.json
好?
调试日志不包含任何有用的信息。
我已经阅读了有关 stackoverflow 和其他地方的几篇帖子,并收集了推荐的信息。假设使用此配置,应该创建文件,然后npm audit
会很高兴。但是,事实并非如此。
reactjs - 你如何修复 -> 无法解决依赖关系:npm ERR
我不熟悉解决依赖问题。我在运行“npm install”后看到了一些漏洞,所以我按照建议运行了“npm audit fix”。我收到这个错误
在我看来,我有 babel-eslint@10.1.0 但 eslint-config-react-app@3.0.8 需要 babel-eslint@9.x 但我不完全确定如何解决这个问题。我应该更新 eslint-config-react-app@3.0.8 吗?
这是我的 package.json
请帮我解决这个问题!
npm - 仅在 Azure Pipeline build 上显示 NPM 审核的严重错误
我正在使用以下自定义命令对我的 Azure Pipeline 构建使用 NPM 审计
这里的想法是,如果审计发现任何关键问题,我只想让这一步失败。
在命令行中本地使用此命令可以正常工作。但是在管道中将其作为自定义 npm 命令运行仍然会导致完整的 npm 审计运行并返回一些导致步骤失败的中等错误。
我觉得我在命令上遗漏了一些格式,但我不确定它是什么。
是否有其他人有在管道中使用 NPM 审计同时成功抑制某些错误严重性的经验?
html - NPM 漏洞 HTML 和 CSS 报告
我有一个 powershell 脚本,可以找出 npm 依赖项中的漏洞。我正在收到一份报告,我在某些部分也使用了 ConvertTo-Html,但我想使用 html 和 css 来增加相同的可读性并创建一个适当的报告。我试图解析输出并从中创建一个 HTML,但无法使用正确的格式。我对它有点陌生,所以需要一些帮助。
下面是脚本中的一个函数。
angular - Angular 新项目漏洞
我已经更新了 angular cli 并创建了一个带有路由和 scss 的新项目。
当我运行 npm install 我看到:
我使用了第一个命令npm audit fix
,它向我展示了这个:
之后我启动了npm audit fix --force
现在我有
而且我也无法启动该项目
我应该忽略这些错误还是有办法解决它?我在漏洞中看到了 postcss 的提及,我应该使用除 scss 之外的其他东西吗?
node.js - 了解和处理 Angular npm 审计修复和依赖项
我需要一些帮助来理解和正确纠正我在 Angular 项目上运行 npm 审计(或只是 npm 安装)时看到的漏洞。我刚刚从 Angular v12 更新到 v13,列出了几个漏洞。请注意,我已经运行了“npm install”和“npm update”,但仍然收到这些审计警告。问题是,我不明白我可以通过更新包来修复哪些漏洞,而不会导致 Angular 出现问题。我开始对此进行调查,并注意到我的角度依赖项甚至没有列出 npm 审计调用的旧版本,所以显然我什至不明白这一点。
下面是我在工作区中运行“npm audit”时为 postcss 包显示的 20 多个审计警告的 6 个示例。但是,在我的 package-lock.json 文件中,“@angular-devkit/build-angular”有一个“需要”列表,其中包括:
我有很多问题......首先,postcss 被列为 8.4.4,所以我不明白为什么我会根据审计警告安装 8.2.13 之前的版本。但是,审计警告说“路径 @angular-devkit/build-angular > postcss-preset-env > autoprefixer > postcss”...这是否意味着 postcss-preset-env 是使用旧版本的不同包postcss 包作为它自己的依赖项?更重要的是,这是否表明需要旧版本(在这种情况下为 6.7.0),如果我更新此版本或运行审计修复,我没有满足这里的依赖关系?毕竟,没有插入符号 (^6.7.0),所以它似乎表示特定版本。我只是不知道我可以或应该在这里做什么。我解决了其他“高” 与角度无关的漏洞,但我该怎么处理这些漏洞?我可以在不破坏我的应用程序的情况下修复它们吗?什么命令实际上会更新 postcss-preset-env?我是否应该忽略这些警告,因为 Angular 团队已经在他们的版本中审查并继续执行?
maven - 通过 maven pom 进行 npm 审计
我是 Maven 新手,所以这可能是一个简单的问题。Node 和 npm 是通过一个 maven pom 文件安装的。我想通过 Maven 执行节点以类似的方式运行 npm audit。这可能吗?如果是这样,最好在哪个生命周期阶段执行?