我正在制作一个 React 应用程序。

我 npm 安装了引导程序，之后弹出了漏洞。

这是来自 npm audit 的两个项目的示例

我尝试了什么：

1. 我安装并运行了 npm-check-updates，它更新了一些模块，但问题仍然存在。
2. 我试图更新 npm audit 中列出的各个包，但不是所有的“实例”？该软件包的更新在我的机器上。下面的例子。所有 browserslist 包都 >=4.16.5，除了最后一行。npm update browserslist 不起作用。

这是 npm list browserslist

我正在使用 vue-cli 4，最近npm audit在我的项目上运行并注意到以下漏洞：

它需要人工审核。我确实搜索了 VUE-CLI github repo 上的问题页面，但没有看到任何关于它的评论。我也确实查看了链接的 npmjs 咨询，它说要升级到车把 4.7.7 或更高版本。它不是我的项目的实际依赖项，但它似乎是我在项目中使用的依赖项（vue-cli）的依赖项。

如果重要的话，我会使用 @vue/cli 版本4.5.13和 npm 版本6.14.4和 NodeJS 版本12.16.2。

感谢您提供有关如何成功修复此漏洞的任何建议或提示！

当我运行npm audit一个子包漏洞列表时，弹出^n级别很深，然后我打开我的package-lock.json文件并手动更新它们，然后删除我的node_modules并立即运行npm i这工作并显示0 vulnerabilities但是当切换分支然后以某种方式返回该分支时漏洞是回来，我的 package-lock.json 文件没有保存。

问题：切换分支时，为什么我手动修复的漏洞突然又回来了？

我是 Angular 的新手，当我做典型的

npm install

我发现了同样常见的（至少对我而言）警告，如下所示：

执行后

npm audit fix

然后我发现只有几个漏洞可以修复

我想学会正确地做事，我非常关心我的项目的安全性，但是，正如我所说，我猜我对手动修复事情很陌生。

寻找信息，我已阅读官方 npm Docs：

如果您对自己想要做什么没有明确的想法，强烈建议您不要使用此选项！

我当然不知道，我想知道：

• 作为非专家开发人员我能做些什么来解决这个问题
• 如果我不修复这些漏洞，我的生产应用程序是否不安全

根据@Trott herte给出的答案提供更多内容是我的package.json文件

基于这个https://github.com/chovyy/npm-audit-proxy

在这种情况下，Nexus OSS v3 管理器运行在 Apache 反向代理之后。还需要从 https://registry.npmjs.org/-/npm/v1/security/audits/代理 npm 审计。

那么如何正确配置 Apache 以将 npm adit 调用传递给 https://registry.npmjs.org/-/npm/v1/security/audits/

<-----已解决---->

我正在学习如何使用 Angulur。

我在项目文件夹中遇到了 5 个无法解决的中度错误。我花了 2 天都没有成功。

我希望你们中的一个可以告诉我如何解决这个问题。我已经在互联网上搜索过，但它似乎指出这可能是我必须等待的错误。但是，根据第二张图片，我认为我拥有所有最新版本。
如果您能给我建议，我将不胜感激。谢谢。

npm 审计报告

glob-parent <5.1.2 严重性：中等 正则表达式拒绝服务 - https://npmjs.com/advisories/1751 没有可用的修复 node_modules/webpack-dev-server/node_modules/glob-parent chokidar 1.0.0-rc1 - 2.1.8 取决于 glob-parent node_modules/webpack-dev-server/node_modules/chokidar webpack-dev-server 的易受攻击版本 2.0.0-beta - 3.11.2 取决于 chokidar node_modules/webpack-dev-server 的易受攻击版本 @ angular-devkit/build-angular <=13.0.0-next.2 取决于 @angular-devkit/build-webpack 的易受攻击版本 取决于 webpack-dev-server 的易受攻击版本 node_modules/@angular-devkit/build-angular @ angular-devkit/build-webpack <=0.1300.0-next.2 取决于易受攻击的 webpack-dev-server node_modules/@angular-devkit/build-webpack 版本

5 个中等严重性漏洞

有些问题需要审查，并且可能需要选择不同的依赖项。

我找到了两个nodejs模块的漏洞来源，一个来自registry api：
https
://registry.npmjs.org/-/npm/v1/security/advisories，另一个是 这个git存储库中定义的json文件：
https:// github.com/nodejs/security-wg/tree/main/vuln
他们有什么关系？他们是一样的吗？

在运行 npx create-react-app my-app 时，我遇到了 10 个中等严重性漏洞。即使在运行 npm audit fix 或 npm audit fix --force 后也无法修复。当我运行 npm audit fix --force 时，我得到更多 44 个漏洞（25 个低、5 个中等、14 个高），然后如果我再次运行相同的命令来修复，我得到 10 个中等严重性漏洞。每次我运行命令时，这都会循环进行。

我很纠结如何解决这个问题。

因此，我的 CI 不允许我签入，因为节点包审计检查回来超过适度我们的策略使构建失败

今天出乎意料的是，我得到了一堆高严重性漏洞。

41 个漏洞（9 个中等，32 个高）

所以我运行npm audit fix（参见此处的输出https://pastebin.com/J9MutM42）。这改变了我的 package-lock.json 文件，包括改变

"lockfileVersion": 1

至

"lockfileVersion": 2

不知道这是多大的交易。

不幸的是，有一堆潜在的破坏性变化，所以我跑了npm audit fix --force（交叉手指没有什么太难）。这给了这个https://pastebin.com/1CefrTZv

所以我想这确实从

41 vulnerabilities (9 moderate, 32 high)

至

9 vulnerabilities (7 moderate, 2 high)

但是为什么它没有解决所有问题？让我们再次运行它...... https://pastebin.com/9J8nxKfJ

输出看起来有点不同，但仍然是漏洞的名称计数： 9 vulnerabilities (7 moderate, 2 high)

让我们再次运行它... https://pastebin.com/U5kw62rZ

什么！？它增加了漏洞： 10 vulnerabilities (8 moderate, 2 high)

让我们再次运行它...... https://pastebin.com/dfdphaQQ

回到9个漏洞： 9 vulnerabilities (7 moderate, 2 high)

再次运行它看起来几乎相同https://pastebin.com/8H6EBTfd。再跑npm audit fix --force只是显示同样的事情。

那么如何修复这两个高漏洞。我看不到任何有关如何修复最后两个高漏洞的说明。

真的卡住了，谢谢你的帮助:)