问题标签 [npm-audit]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
node.js - 无法修复 Cryptiles - 熵不足错误
尝试将 nodejs 应用程序部署到 Heroku
从 npm audit 我收到错误 Cryptiles - 熵不足错误,它显然已在 4.1.2 版本中修补,因此我尝试使用“npm i cryptiles@4.1.2”安装它,但错误仍然存在。
我还安装了@hapi/cryptiles,但没有任何运气。
想知道对于这个错误我还能做些什么吗?
security - 如何快速找到 npm audit 建议的依赖链的正确修复?
我正在参与一个开源项目,该项目目前使用 phantom.js 作为开发依赖项。npm audit显示 phantom.js 有 13 个漏洞,并且一些依赖链有些长:
我正在考虑建议对 phantomjs 和底层包进行一些更新,但是 npm audit 提供的信息没有那么有用:
- 他们建议
hoek5.0.3 或更高版本会很好, - 但他们没有显示
sntp使用的版本, - 如果有更高版本
sntp使用 的安全版本hoek, - 和同样
hawk的request
更新request到一些较新的版本可能会立即修复 phantomjs 的漏洞,而不建议对或进行任何更新hawk,但认为这听起来像是很多手动工作。是否有任何工具可以帮助找到修复报告的漏洞的最短方法?
(我知道盲目更新实际上可能会引入新的错误/其他漏洞,但至少我们可以得到如何进行的建议)sntphoek
npm - “npm audit fix”到底是做什么的?
npm audit fix旨在自动升级/修复 npm 包中的漏洞。但是,我还没有找到修复这些漏洞的具体方法。
我假设这npm audit fix会将依赖项和依赖项的依赖项升级到软件包的 semver-definitions 允许的最新版本——实际上与rm package-lock.json; npm install. 但是npm audit fix,在删除锁定文件 + 重新安装后仍然会执行很多更改。
具体是npm audit fix做什么的?例如,它是否安装了比相应版本允许的版本更新的依赖package.json项(但仍然与 semver 兼容)?
github - 如何修复 Gatsby 开发博客中的安全漏洞?
我有一个开发博客,我看到了 14 个安全警报,其中一些具有高严重性、严重严重性和中等严重性。
所以,我跑去npm audit看问题,它给了我这个。
那么,我该怎么办,npm audit fix?你如何处理这个问题?
例如,在报告中,我有这样的内容:
现在,我该如何解决这个问题?
node.js - 尝试将级别更改为高时,命令 npm audit-level 不起作用
我有一个带有 NodeJS 的前端应用程序,我试图让 npm 审计仅在高漏洞或关键漏洞上中断,所以我尝试更改文档中指定的审计级别,但它仍然会返回低漏洞为你可以在这里看到
有什么我做错了吗?
我的 npm 版本是 6.14.5 我的 NodeJS 版本是 10.17.0
javascript - 在创建新的 reactjs 应用程序期间,在 1620 个扫描包中发现 1 个低严重性漏洞
我在创建新的 Reactjs 应用程序时遇到错误,此错误消息显示在命令行上 => 在 1620 个扫描包中发现了 1 个低严重性漏洞
react-native - 为什么 npm-audit 对 react-native-unimodule 失败
我正在尝试npm audit在我的react-native项目上运行,该项目最初是一个世博会项目并被弹出到裸工作流中。当我跑步时npm audit,我得到
详细日志如下
具有以下package.json关联版本
无法弄清楚从哪里npm-audit得到react-native-unimodules@^0.7.0。
npm - 工件中私有包的 NPM 审计
有没有办法对 Artifactory 中的私有包运行 npm 审计。目前,artifactory 正在对从远程存储库(NPM 公共注册表)下载的包运行 npm audit。但是,我们也想扫描内部开发的包。
谢谢!!!
angular - 'npm audit' 修复或 'npm audit'
当我尝试安装 @angular/cdk: runnpm audit fix来修复它们时,我得到了这个,或者npm audit. 我安装的时候会不会出现这个版本冲突?我假设 package.json 中发生的冲突会导致这种情况。
有人能说出为什么会发生这种情况吗?这是什么?
javascript - 在 Yarn 2 (berry) 中审计依赖项的最佳方法是什么?
我正在寻找一种方法来审计 Yarn 2 中漏洞的依赖关系。在 Yarn 1.x 中npm,通过运行yarn audit而不是npm audit. 但是 Yarn 2 没有这样的命令。并且根据berry github 上的这个问题,它不会被实现(项目维护者更喜欢它是通过插件完成的)。
我试过运行npm install --package-lock-only && npm audit,但安装在我的一些本地包上阻塞(我使用link:url 类型在 package.json 中列出)。
构建它不会是一个复杂的插件,我很乐意这样做,但它不会像安装一些东西然后继续我的一天那么有趣。我环顾四周,但总是以相同的几个 vapourware / 废弃软件 repos 告终。
但我仍然猜想我只是没有找到他们。或者有一个未记录的技巧可以使它变得容易。因此我的问题:)
PS,是的,我可以link:在运行上面的npm installandnpm audit命令时临时删除本地包,但这并不是我想尝试为 CI 自动化的事情。