问题标签 [npm-audit]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
428 浏览

reactjs - ReactJs:关于 node-sass 的 npm errr

在尝试修复示例反应应用程序run npm audit fixnpm audit fix --force的几个漏洞时,我遇到了这个错误,我无法找到修复程序。在这方面我能得到一些帮助吗?我是 reactjs 的新手,我正在尝试一个项目。

当我使用 npm 安装 firebase 时,我首先遇到了这个问题。当我安装 firebase 时,我收到了一些漏洞警告。那是我跑run npm audit fix的时候npm audit fix --force

0 投票
1 回答
48 浏览

npm - 运行 npm audit 会给出意外的审计报告格式

我一直在阅读有关npm audit.

它应该返回如下内容:

在此处输入图像描述

但相反,它返回:

在此处输入图像描述

为什么我得到不同的格式?

在线的所有文档和教程都没有显示我所看到的内容,这使得很难理解。

我已经在 3 个不同的终端上尝试过;Mac 终端、iTerm 和 Visual Studio Code 中的终端。都显示相同的东西。

还检查了 npm 版本,它是最新的(8.0.0)。

0 投票
2 回答
6029 浏览

node.js - 当 npm audit fix / update / shrinkwrap 手动更改不起作用时,如何更新 node-sass 的嵌套包 ansi-regex?

下面有一个完整的细分npm audit

到目前为止,我们已经尝试npm audit fix过深入,我们尝试过收缩包装并手动将相关版本号更改为 GitHub 建议的固定版本(6.0.1)。

即使在手动删除、重新安装等之后,npm install 也会将包重置为 5.0.1。

下面是 npm audit 的输出。

我们如何正确更新这个最佳依赖项以避免 npm 审计问题?

0 投票
0 回答
22 浏览

angular - 对私有 npm 注册表的 npm 审计

我们有一个私有的 npm 注册表,我们使用的所有 npm 包都在其中托管。由于“npm audit”不像对 npm 注册表那样工作,我们在执行“npm audit”之前将下面突出显示的 url 从我们的私有注册表替换为 npm。

在此处输入图像描述

现在,当我执行 'ng build --prod' 时,它会捆绑更新的 node_modules(在 npm 审计之后),这样我的构建文件中就有了经过审计的 n​​pm 包。

谢谢!

0 投票
0 回答
32 浏览

security - Sails.js 依赖漏洞,npm audit fix --force 不起作用

语境

我正在构建一个sails api,我遇到了一些我正在尝试解决的安全问题。这是我的 package.json

当我跑步时,npm audit我有

29 个漏洞(11 个低、7 个中等、9 个高、2 个严重)

我试图跑步npm audit fix --force,但我不断遇到问题。

第一次运行npm audit fix --force

以下是版本更改的软件包列表:

  • 帆:^1.4.4
  • 帆钩orm:^3.0.2
  • 帆钩插座:^2.0.0
  • 帆-postgresql:^2.0.0
  • eslint:5.16.0

通过这些更改,我仍然会遇到这些漏洞:

102 个漏洞(11 个低、9 个中等、70 个高、12 个严重)

第二轮npm audit fix --force

以下是从上次审核修复更改版本的软件包列表:

  • 帆:^1.5.0
  • 帆钩orm:^3.0.2
  • 帆-postgresql:^3.0.0

我仍然有漏洞:

34 个漏洞(9 个低、1 个中等、18 个高、6 个严重)

第三轮npm audit fix --force

以下是从上次审核修复更改版本的软件包列表:

  • 帆:^0.12.14
  • 帆钩orm:^1.0.9
  • 帆钩插座:^2.0.1
  • 帆-postgresql:^0.12.2

我仍然有漏洞:

103 个漏洞(12 个低、9 个中等、70 个高、12 个严重)

第四轮npm audit fix --force

以下是从上次审核修复更改版本的软件包列表:

  • 帆:^1.5.0
  • 帆钩orm:^3.0.2
  • 帆钩插座:^1.5.0
  • 帆-postgresql:^3.0.0

这是漏洞:

34 个漏洞(9 个低、1 个中等、18 个高、6 个严重)

问题

当我到达第四次运行时,我将我送回第二次运行的配置。我觉得npm audit fix --force帮不了我。

修复漏洞的最佳方法是什么?(如果有解决方案)

0 投票
0 回答
64 浏览

npm - 更好的 npm-audit 与 Nuxt 项目的 npm 标准审计

我的 Nuxtjs 项目有一个奇怪的行为:annpm audit给了我 35 个漏洞,其中 20 个漏洞很高,并且全部用于生产。

如果我使用better-npm-audit audit --production,我只会发现 3 个漏洞,其中只有 2 个高点(显然是误报)。

为什么会有这样的差异,我应该相信什么漏洞报告?

0 投票
1 回答
205 浏览

npm - 尽管将包移动到 `devDependencies`,`npm audit --production` 仍然警告漏洞

我创建了一个反应应用程序,npx create-react-app myapp并充满了漏洞。我按照这个github 问题中的说明将包移动到devDependencies我的package.json文件中,因为任何“漏洞”只会存在于我的本地开发笔记本电脑上。但是,当我npm audit --production按照建议运行时,我仍然看到大量有关漏洞的警告。我忘记做某事了吗?这是我的package.json文件。

这些是我看到的漏洞react-scripts

0 投票
1 回答
31 浏览

npm - NativeScript 8.0.0:NPM 漏洞在“3 高”到“30 高”之间切换

我目前正在开发一个使用 NativeScript 核心 ~8.0.0 的 NativeScript 项目,我刚刚运行npm install并意识到存在 3 个高漏洞。当我尝试使用npm audit fix(即使使用--force标志)修复它们时,我最终有 30 个高度漏洞。再次npm audit fix引出原来的3高。

这些似乎是由于@nativescript/webpack:5.0.0哪个是当前版本,但依赖于易受攻击的@pmmmwh/react-refresh-webpack-plugin.

关于如何解决这个问题的任何想法?

这是详细的输出npm audit

0 投票
0 回答
90 浏览

npm - 运行 npm audit fix 时出现 404 错误

当我试图修复漏洞时。我正在执行面临以下问题的 npm 审计修复。我已经签入了 jfrog 可用的库。仍然不知道,为什么我会遇到这个问题。

npm 错误!代码 E404 npm 错误!404 未找到 - 获取 https://...../npm/-/npm-6.13.3.tgz npm ERR!404 npm 错误!404 'https://...../npm/-/npm-6.13.3.tgz' 不在 npm 注册表中。npm 错误!404 你的包名无效,因为 npm ERR! 404 1. name 只能包含 URL 友好字符 npm ERR!404 它被指定为'client' npm ERR 的依赖项!404 npm 错误!404 请注意,您也可以从 npm ERR 安装!404 tarball、文件夹、http url 或 git url。

npm 错误!可以在以下位置找到此运行的完整日志:npm ERR!C:\Users...\AppData\Roaming\npm-cache_logs\2021-11-13T15_15_39_409Z-debug.log

0 投票
0 回答
52 浏览

npm - npm 审计力增加漏洞

它最初说 23 个问题,但在使用 audit fix --force 之后,它会尝试安装一些废弃的文件?我认为,漏洞增加到 56。但是在再次使用审计修复力后,它又回到了 23 ......