问题标签 [npm-vulnerabilities]

我正在使用 Vue 开发一个项目。我运行 Vue Cli 并添加了 Typescript 插件。我有几个漏洞。当我运行npm audit fix它无法解决依赖冲突：

我正在使用node版本v14.17.4，npm版本8.0.0。

这是我的package.json。我使用 Vue Cli 配置了大​​部分项目，当前版本为@vue/cli 4.5.14.

我是 React N/JS 的绝对初学者。我一直在从几个视频中学习并尝试使用npx create-react-app *app name* . 我之前制作了同一个应用程序，它运行良好，但几个月后我重新开始使用同一个应用程序，终端显示58 个漏洞（16 个中等，40 个高，2 个严重）。

起初，我通过运行命令来修复它npm i --package-lock-only。但后来发生了一些事情，我不得不重新安装 VS Code，之后漏洞再次出现，现在既不npm audit fixornpm audit fix --force也不npm i --package-lock-only正常。

正如你所看到的，我的技术术语真的很弱，但我真的希望我说得通。如果有人能建议我一个解决方案，我将不胜感激！

嗨，当我创建 creat 应用程序时，我遇到了一个问题，它是用 yarn 构建的，而我在生活中没有使用 yarn，当我使用 npm 安装任何东西时，我认为它显示了我尝试使用的问题（create-react-app my-project --use-npm）并且我删除了 yarn.lock 我发现了同样的问题，当我使用 npm 安装任何软件包时，它会向我显示一条消息 58 个漏洞（16 个中等漏洞，40 个高漏洞，2 个严重漏洞）

图片： https ://cdn.discordapp.com/attachments/811324614901760041/905436370363883520/unknown.png https://cdn.discordapp.com/attachments/811324614901760041/905436302948831312/unknown.png https ://media.discordapp /attachments/811324614901760041/905434979037765642/unknown.png?width=1108&height=623 https://cdn.discordapp.com/attachments/811324614901760041/905434979037765642/unknown.png https://cdn.discordapp.com/attachments/811324614901760041/905433250971926609 /未知.png

我的 Nuxtjs 项目有一个奇怪的行为：annpm audit给了我 35 个漏洞，其中 20 个漏洞很高，并且全部用于生产。

如果我使用better-npm-audit audit --production，我只会发现 3 个漏洞，其中只有 2 个高点（显然是误报）。

为什么会有这样的差异，我应该相信什么漏洞报告？

以下是针对以下漏洞的修复：

使固定：

1. 9.0.6在这种情况下，使用以下命令安装 immer 的修补版本：

2. 使用 . 更新 package.json 文件npm update。

   重要提示：如果此时漏洞仍然存在，只有当您知道这不会破坏您的代码或弄乱项目的先前版本或其他包的依赖项时，您才能执行以下操作。我是唯一一个在我的项目上工作的人，所以这个修复适用于我的场景。

3. 在你的package-lock.json文件中，找到过时的包，在我的例子中：

   并直接删除它。

对于所有包/依赖项，此修复似乎不是很可持续，但谁知道呢？如果有更好的方法，请让社区知道。

它最初说 23 个问题，但在使用 audit fix --force 之后，它会尝试安装一些废弃的文件？我认为，漏洞增加到 56。但是在再次使用审计修复力后，它又回到了 23 ......

当我将一些 npm 包安装到我的项目中时，大多数情况下，我会收到警告或漏洞错误。

27 vulnerabilities (16 moderate, 9 high, 2 critical)

当我创建一个世博项目时，上面显示了。我的问题是：

• 我能做些什么来修复这些漏洞？
• 大多数警告都是从已弃用的包中输入代码。可以对他们做些什么？
• 对于安全性很重要的项目，我应该做什么？

我正在Vue 3而不是Vue 2中开发应用程序。拜托，我有非常简单package.json的路由器和 cli 来构建、编译和运行应用程序。

这是完整的json

但在npm install收到许多关于漏洞的警告之后。拜托，你能推荐我怎样才能避免这种情况吗？或者它不重要，我可以保留它吗？事实上，我只是后端开发人员，还没有做前端。这是我参与前端的第一个应用程序。

我试过npm update -g了，但没有帮助。我尝试ncu -u使用 package.json 中的最新版本，但也无济于事。使用全新安装删除package-lock.json和目录后，我仍然有所有漏洞。node_modules我也尝试过添加"svgo": "^2.8.0"，因为它是安装期间警告中已弃用的包，但它也无济于事。

我尝试了这个网站的提示和技巧。依然没有。

你能给我一些建议，我怎样才能在没有漏洞的情况下进行全新安装？我知道，很多包有很多依赖项，我仍然会有一些问题。但我想至少避免高漏洞。这是可能的？我怎么能踩？

非常感谢您的任何建议

我是编码新手。我正在使用 Windows10 并且刚刚安装了 WSL。我想使用命令安装 Ganache，npm install -g ganache-cli但它说它有 8 个漏洞（7 个中等，1 个高）

当我写npm audit fix或npm audit fix --force它说没有漏洞时。我不明白问题出在哪里。

我的 NPM 版本是 8.3.0

当我运行npm audit时，它会告诉我以下有关漏洞的信息：

它说npm fix将安装

--> @sambego/storybook-state@1.3.6,

但在我的 package.json 中它说

--> "@sambego/storybook-state": "^2.0.1",

所以我的包比推荐的包要新得多。

我会接受任何告诉我是否以及为什么可以忽略这个关键的 npm 漏洞的答案。