问题标签 [npm-audit]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - npm 审计修复删除了 ssri 包的完整性值
我刚刚跑了npm audit fix,然后检查了 package-lock.json 中的更改。
之前npm audit fix:
之后npm audit fix:
这有什么意义?这甚至不会降低安全性吗?
node.js - 在节点 js 中进行 npm 审计修复后测试应用程序的最佳方法是什么
运行后,npm audit fix我们发现 package.json 中的主要 npm 模块之一 nodemailer 已将其主要版本从 "nodemailer": "^5.1.1" 更改为 "nodemailer": "^6.6.0" 并且也是传递依赖模块之一主要版本从 package-lock.json 中的 "dot-prop": "^4.1.0" 更改为 "dot-prop": "^5.2.0"。
更改后,我们使用常规测试用例测试了我们的应用程序,并按预期工作。我们是否有任何其他方法来检查这些主要版本更改是否会破坏现有功能?
还有什么方法可以限制仅将模块更新到特定版本?
更新 npm 模块的理想/最佳方法是什么?
在 npm upgrade 之后测试这些更改的最佳方法是什么?
reactjs - 如何修复 NPM 漏洞
运行 npm audit 时,它说我有 87 个漏洞。npm audit fix 和 npm audit fix --force 不能解决问题。
这是关于 npm audit fix 的主要问题的输出。
在 package-lock.json 进一步检查后,这里是 dns-packet:
它在 npm 文档上说 dns-packet 的最新版本应该是 5.2.3。我尝试删除 package-lock.json 和节点模块并运行npm install,但这不起作用。这是npm install吐出来的:
在这一点上,我不知道问题是什么。我有一段时间没有安装任何东西。去安装 redux 和 react-redux,它开始告诉我有漏洞。不知道从这里去哪里。
编辑:我运行npm i npm@latest并在控制台中显示:
npm - 如何手动“npm audit fix”单个安全问题?
我有许多由 报告的问题npm audit,并且通过运行npm audit fix它确实可以解决其中的几个问题。但是,出于某种原因,这样做也会破坏我的构建。我想我知道是哪个修复程序导致了这个问题,但我仍然想修复其他问题。
有没有办法让 npm 在我运行时执行任何操作npm audit fix,但仅针对单个问题/依赖项?
我知道我运行npm i了,但这也将更新的依赖项添加到package.json(即使带有--package-lock-only标志),这是我不想要的。我只想让 npm 更新package-lock.json,就像我运行 时一样npm audit fix,但只是针对部分问题。
angular - 如何解决 npm 审计漏洞?Angular 新鲜项目
我正在创建带有ng new foobar- 47 个漏洞的新 Angular 项目
然后我更新:ng update @angular/cli @angular/core- 39 个漏洞
我不知道如何解决这个问题。
当我运行时,npm audit我得到两个信息块,作为建议的解决方案,我应该安装旧版本,@angular-devkit/buildangular其标记为重大更改。我认为突破性的改变不是一个好的解决方案,那么我应该怎么做?我应该忽略 39 个中等严重性漏洞吗?(我尝试通过运行安装 npm 建议的内容,npm audit fix --force但这会导致大量漏洞)
angular - 如何修复 npm 审计漏洞 Angular 12.0.3
在我创建一个新的 Angular 12.0.3 项目后,npm audit立即检测到 8 个高漏洞和 40 个中等漏洞。
当试图解决npm audit fix没有任何变化的问题时。
npm audit fix --force将漏洞减少到 9 个中等漏洞和 7 个高漏洞,但是当我尝试运行项目时,由于版本不匹配,会显示以下错误:
我已经尝试按照此答案中描述的解决方案修复漏洞,但这破坏了项目。
此外,我使用 angular-cli 的 v11-lts 创建了一个项目,但是由于不同的漏洞导致了相同的问题:
有没有办法修复所有漏洞?
在通过更新 @angular-devkit/build-angular 包后,就像他的回答npm install @angular-devkit/build-angular@latest中描述的 imam hulagur 一样,漏洞减少到 2 个(1 个中等,1 个高)。之后我尝试运行并遵循输出帮助修复了另一个漏洞npm audit
所以现在只剩下一个漏洞:
包的路径和版本:
node.js - npm 审计修复与 npm 安装
我不明白它是如何npm audit fix工作的。从文档:
npm audit fixnpm install在引擎盖下运行成熟
那么为什么当我运行npm install并看到审计漏洞时,我必须npm audit fix手动运行来修复它们?
vue.js - 严重漏洞 - npm-laravel 8 包和依赖项
这就是 中的指示npm audit。npm update 或者npm audit fix没有解决这个问题,需要在这里手动工作。如果我使用npm audit fix --force它返回以下警告:
在这种情况下,如果我运行npm run dev ,它会显示两个警告,说明 web pack 编译时带有 2 个警告
我的包裹.Json
2021 年 6 月 26 日之后更新
目前我的 npm 审计报告:
和包,json(更新为)
node.js - npm audit fix --force 永远无法避免漏洞
我陷入了一种情况,要么有 22 个漏洞,要么有 47 个漏洞。我可以运行npm audit fix,但我总是建议运行--force交换机以实际执行升级。从那里我可以升级并获得 22 个 vulns,然后我--force再次执行并获得 47 个 vulns,这个循环永远持续下去。最好的出路是什么,让包裹保持原样?
我的 package.json
当我尝试npm --audit fix一种情况时:
然后当我一个接一个地运行它时--force
reactjs - 如何解决依赖树 NPM
我正在做一个反应项目,我得到了 101 个漏洞(严重性:95 中等 | 6 高)。Npm/yarn 审计修复不起作用,因为所有这些都具有传递依赖关系。我无法直接修复它们,因为它们给了我重大更改。我是 react 和 npm 的新手,所以我不知道该怎么做。