问题标签 [npm-vulnerabilities]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - shell-quote 1.7.2 漏洞 - 无法使用强制解决方案修复它
我有一个 nextjs 应用程序,它有“next”:“^10.2.0”。它又将 shell-quote 作为传递依赖项,并且安装在 1.7.2 中的版本具有一些严重的安全漏洞。我现在必须修复这个问题,shell-quote 版本 1.7.3 没有这些漏洞。所以我添加了这个
和
在 package.json 中。
但它仍然给我错误,当我检查 npm ls shell-quote 时,我看到了
这是否意味着 next@10.2.3 不能有 1.7.2 的 shell 引用?这个问题现在可以在没有 nextjs 升级的情况下解决吗?
reactjs - 如何解决 vs for npm install 中的中度严重漏洞
=== npm 审计安全报告 ===
第 n 次检查中的中等低效正则表达式复杂性
包第 n 次检查
已在 >=2.0.1 中修补
react-scripts 的依赖
路径 react-scripts > @svgr/webpack > @svgr/plugin-svgo > svgo >
css-select > nth-check
更多信息 https://github.com/advisories/GHSA-rp65-9cf3-cjxr
postcss中的中等正则表达式拒绝服务
打包 postcss
补丁在 >=8.2.13
依赖 react-scripts
路径 react-scripts > resolve-url-loader > postcss
更多信息 https://github.com/advisories/GHSA-566m-qj78-rww5
在 1398 个扫描包中发现 2 个中等严重性漏洞 2 个漏洞需要人工审查。有关详细信息,请参阅完整报告。
security - Anchore 中的多种策略
我有一个用例,我想根据用例将 vulns 列入白名单。有没有办法维护多个策略块并使用特定块进行扫描?
PS:我稍后会修复漏洞:)
有人可以就此提出建议吗?