问题标签 [npm-audit]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
node.js - GulpJS 3.9.1 在本地网络上使用安全吗?
我已经使用 Gulp 一段时间了,最近我注意到在安装或更新软件包时会出现安全警告。我运行审核并获得了很多信息,但我不确定这是否特别适用于生产服务器,或者它是否也适用于本地服务器。
我也尝试过使用 gulp 4,它看起来不错,但我只是对 3.9.1 版本感到好奇,因为仍然存在一些差异。
我想简短的问题是 gulp 3.9.1 在本地环境中可以安全使用还是会产生安全问题?
angular - serve 命令需要在 Angular 项目中运行,但在 Angular 4 中找不到项目定义
我从 github 克隆了一个旧项目并尝试安装node_module并发现了一些漏洞。为了修复它们,我运行了以下命令
还有一些漏洞,所以我运行了强制修复命令
之后,当我尝试运行该项目时,我得到了这个-
Serve 命令需要在 Angular 项目中运行,但找不到项目定义。
npm - NPM 在“审计修复”上抛出错误 - 不支持配置的注册表
从昨晚开始,我收到以下错误:
我最近没有进行任何更改。https://github.com/verdaccio/verdaccio/issues/689建议更改 config.yaml 文件。我的文件夹中没有看到任何 config.yaml 文件。我也没有使用 verdaccio。不知道如何解决这个问题。有任何想法吗?
更新:npm 审计显示以下内容:
┌────────────────────────────────────────────────── ──────────────────────── │ 人工审核 │ │ 一些漏洞需要您注意解决
│ 访问https://go.npm.me/audit-指导如需额外指导│ └──────────────────────────────────────────── ──────────────────────────── ┌────────────────┬───── ────────────────────────────────────────────────── ── │ 严重 │ 恶意包 │ ├────────────────┼──────────────────────── ────────────────────────────── │ 软件包│ flatmap-stream │ ├────────── ──────┼──────────────────────────────────────────── ────────────── │ 已打补丁 │ 无可用补丁 │ ├────────────────┼──────────── ──────────────────────────────────────────── │ nodemon的依赖关系[开发] │ ├───────────────┼──────────────────────────── ──────────────────────────── │ 路径│ nodemon > pstree.remy >ps-tree > event-stream > │ │ │ flatmap-stream │ ├────────────────┼────────────────── ────────────────────────────────────── │ 更多信息 │https://nodesecurity.io/advisories/737 │</p>
npm - 需要帮助理解“npm audit”输出中的哈希值
在我的npm audit输出中,我看到以下带有哈希的条目:
我可以知道哈希代表什么以及在哪里可以找到它代表的依赖树节点?我在网上搜索并搜索了我的package-lock.json文件,但找不到它。
谢谢!
node.js - 是否有用于 npm 审计的 TypeScript 类型?
我想npm audit --json用 TypeScript 输入生成的 JSON。
我试过npm install @types/npm --save-dev了,但没有看到任何相关的东西。
这是我现在创建的:
security - webpack-dev-server@3.1.14 在使用 npm audit 时获得缺少来源验证
我已将其更新webpack-dev-server到最新版本3.1.14,但在使用npm audit --fix. 我已经尝试了每一件事。清理缓存。清除所有模块并再次安装,但都一样。
以下是我运行时的错误npm audit
node.js - 安装后如何修复 npm 审计问题和无法在 Eclipse 的 rug.config 中找到 npm 插件
当我运行 npm audit fix 时,它说修复了 11294 个扫描包中的 2 个漏洞中的 0 个 2 个漏洞需要手动审查并且无法更新。请提供解决此问题的任何建议。
C:\Users\saivenkateswar.k\Pictures\botium-sample-eclipse-master\botium-sample-eclipse-master>npm 审计修复
npm WARN botium-sample-watson@2.0.0 没有存储库字段。
npm WARN 可选跳过可选依赖:fsevents@1.2.7 (node_modules\fsevents):
npm WARN notsup 跳过可选依赖:fsevents@1.2.7 不受支持的平台:想要 {"os":"darwin","arch":"any"}(当前:{"os":"win32","arch": "x64"}) 在 35.383 秒内更新
修复了 11294 个扫描包中 2 个漏洞中的 0 个 2 个漏洞需要人工审查且无法更新
C:\Users\saivenkateswar.k\Pictures\botium-sample-eclipse-master\botium-sample-eclipse-master>npm 审计
中度沙盒突围/任意代码执行
包静态评估
已修补 无可用补丁
botium-bindings 的依赖 [dev]
路径 botium-bindings > botium-core > jsonpath > static-eval
更多信息 https://nodesecurity.io/advisories/758
中度沙盒突围/任意代码执行
包静态评估
已修补 无可用补丁
botium-cli [dev] 的依赖关系
路径 botium-cli > botium-core > jsonpath > static-eval
更多信息 https://nodesecurity.io/advisories/758
在 11294 个扫描包中发现 2 个中等严重性漏洞 2 个漏洞需要人工审查。查看完整报告以获取详细信息
javascript - npm audit 返回奇怪的依赖项
Npm audit 返回带有一些有效警告的输出,但也带有奇怪的依赖项,看起来像随机的十六进制字符串。每次运行时该字符串都会更改,npm audit并且对于所有包都是相同的,在审计中引用。
我怎样才能摆脱它?Npm 版本是 6.8.0
angular - Npm 审计报告说“发现 1 个低严重性漏洞”业力 > 扩展大括号 > 大括号
Npm 审计报告说“发现 1 个低严重性漏洞”。1 个漏洞需要人工审核。
但是,手动升级大括号(braces": "^2.3.2") 并没有解决问题。有什么建议吗?
以下是我的 package.json 的内容
javascript - `npm audit` 不断返回“您配置的注册表 (https://registry.npmjs.org/) 不支持审计请求。”。我怎样才能让它再次工作?
这是我得到的错误:
使用日志文件:
我尝试了在 github 上找到的多个想法,但我没有任何想法proxy或http-proxy设置。两者都返回null:
有任何想法吗?这不是暂时的,我已经有一段时间了。我觉得很奇怪503。这意味着我的连接有问题。