问题标签 [npm-audit]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
reactjs - ReactJs:关于 node-sass 的 npm errr
在尝试修复示例反应应用程序run npm audit fix中npm audit fix --force的几个漏洞时,我遇到了这个错误,我无法找到修复程序。在这方面我能得到一些帮助吗?我是 reactjs 的新手,我正在尝试一个项目。
当我使用 npm 安装 firebase 时,我首先遇到了这个问题。当我安装 firebase 时,我收到了一些漏洞警告。那是我跑run npm audit fix的时候npm audit fix --force
npm - 运行 npm audit 会给出意外的审计报告格式
我一直在阅读有关npm audit.
它应该返回如下内容:
但相反,它返回:
为什么我得到不同的格式?
在线的所有文档和教程都没有显示我所看到的内容,这使得很难理解。
我已经在 3 个不同的终端上尝试过;Mac 终端、iTerm 和 Visual Studio Code 中的终端。都显示相同的东西。
还检查了 npm 版本,它是最新的(8.0.0)。
node.js - 当 npm audit fix / update / shrinkwrap 手动更改不起作用时,如何更新 node-sass 的嵌套包 ansi-regex?
下面有一个完整的细分npm audit。
到目前为止,我们已经尝试npm audit fix过深入,我们尝试过收缩包装并手动将相关版本号更改为 GitHub 建议的固定版本(6.0.1)。
即使在手动删除、重新安装等之后,npm install 也会将包重置为 5.0.1。
下面是 npm audit 的输出。
我们如何正确更新这个最佳依赖项以避免 npm 审计问题?
angular - 对私有 npm 注册表的 npm 审计
我们有一个私有的 npm 注册表,我们使用的所有 npm 包都在其中托管。由于“npm audit”不像对 npm 注册表那样工作,我们在执行“npm audit”之前将下面突出显示的 url 从我们的私有注册表替换为 npm。
现在,当我执行 'ng build --prod' 时,它会捆绑更新的 node_modules(在 npm 审计之后),这样我的构建文件中就有了经过审计的 npm 包。
谢谢!
security - Sails.js 依赖漏洞,npm audit fix --force 不起作用
语境
我正在构建一个sails api,我遇到了一些我正在尝试解决的安全问题。这是我的 package.json
当我跑步时,npm audit我有
29 个漏洞(11 个低、7 个中等、9 个高、2 个严重)
我试图跑步npm audit fix --force,但我不断遇到问题。
第一次运行npm audit fix --force
以下是版本更改的软件包列表:
- 帆:^1.4.4
- 帆钩orm:^3.0.2
- 帆钩插座:^2.0.0
- 帆-postgresql:^2.0.0
- eslint:5.16.0
通过这些更改,我仍然会遇到这些漏洞:
102 个漏洞(11 个低、9 个中等、70 个高、12 个严重)
第二轮npm audit fix --force
以下是从上次审核修复更改版本的软件包列表:
- 帆:^1.5.0
- 帆钩orm:^3.0.2
- 帆-postgresql:^3.0.0
我仍然有漏洞:
34 个漏洞(9 个低、1 个中等、18 个高、6 个严重)
第三轮npm audit fix --force
以下是从上次审核修复更改版本的软件包列表:
- 帆:^0.12.14
- 帆钩orm:^1.0.9
- 帆钩插座:^2.0.1
- 帆-postgresql:^0.12.2
我仍然有漏洞:
103 个漏洞(12 个低、9 个中等、70 个高、12 个严重)
第四轮npm audit fix --force
以下是从上次审核修复更改版本的软件包列表:
- 帆:^1.5.0
- 帆钩orm:^3.0.2
- 帆钩插座:^1.5.0
- 帆-postgresql:^3.0.0
这是漏洞:
34 个漏洞(9 个低、1 个中等、18 个高、6 个严重)
问题
当我到达第四次运行时,我将我送回第二次运行的配置。我觉得npm audit fix --force帮不了我。
修复漏洞的最佳方法是什么?(如果有解决方案)
npm - 更好的 npm-audit 与 Nuxt 项目的 npm 标准审计
我的 Nuxtjs 项目有一个奇怪的行为:annpm audit给了我 35 个漏洞,其中 20 个漏洞很高,并且全部用于生产。
如果我使用better-npm-audit audit --production,我只会发现 3 个漏洞,其中只有 2 个高点(显然是误报)。
为什么会有这样的差异,我应该相信什么漏洞报告?
npm - 尽管将包移动到 `devDependencies`,`npm audit --production` 仍然警告漏洞
我创建了一个反应应用程序,npx create-react-app myapp并充满了漏洞。我按照这个github 问题中的说明将包移动到devDependencies我的package.json文件中,因为任何“漏洞”只会存在于我的本地开发笔记本电脑上。但是,当我npm audit --production按照建议运行时,我仍然看到大量有关漏洞的警告。我忘记做某事了吗?这是我的package.json文件。
这些是我看到的漏洞react-scripts
npm - NativeScript 8.0.0:NPM 漏洞在“3 高”到“30 高”之间切换
我目前正在开发一个使用 NativeScript 核心 ~8.0.0 的 NativeScript 项目,我刚刚运行npm install并意识到存在 3 个高漏洞。当我尝试使用npm audit fix(即使使用--force标志)修复它们时,我最终有 30 个高度漏洞。再次npm audit fix引出原来的3高。
这些似乎是由于@nativescript/webpack:5.0.0哪个是当前版本,但依赖于易受攻击的@pmmmwh/react-refresh-webpack-plugin.
关于如何解决这个问题的任何想法?
这是详细的输出npm audit:
npm - 运行 npm audit fix 时出现 404 错误
当我试图修复漏洞时。我正在执行面临以下问题的 npm 审计修复。我已经签入了 jfrog 可用的库。仍然不知道,为什么我会遇到这个问题。
npm 错误!代码 E404 npm 错误!404 未找到 - 获取 https://...../npm/-/npm-6.13.3.tgz npm ERR!404 npm 错误!404 'https://...../npm/-/npm-6.13.3.tgz' 不在 npm 注册表中。npm 错误!404 你的包名无效,因为 npm ERR! 404 1. name 只能包含 URL 友好字符 npm ERR!404 它被指定为'client' npm ERR 的依赖项!404 npm 错误!404 请注意,您也可以从 npm ERR 安装!404 tarball、文件夹、http url 或 git url。
npm 错误!可以在以下位置找到此运行的完整日志:npm ERR!C:\Users...\AppData\Roaming\npm-cache_logs\2021-11-13T15_15_39_409Z-debug.log
npm - npm 审计力增加漏洞
它最初说 23 个问题,但在使用 audit fix --force 之后,它会尝试安装一些废弃的文件?我认为,漏洞增加到 56。但是在再次使用审计修复力后,它又回到了 23 ......