Node.js NPM审计修复程序
运行Node.js NPM审计修复程序,node.js,npm,npm-audit,Node.js,Npm,Npm Audit,运行npm audit后,我收到(这只是其中之一)中度警告 Moderate │ Prototype pollution Package │ hoek Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3 Dependency of │ karma Path | karma > log4js > loggly > request > hawk > sntp > hoek
npm auditModerate │ Prototype pollution
Package │ hoek
Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of │ karma
Path | karma > log4js > loggly > request > hawk > sntp > hoek
中等│ 原型污染
包裹│ 霍克
补上│ > 4.2.0 < 5.0.0 || >= 5.0.3
依赖│ 因果报应
路径| karma>log4js>loggly>request>hawk>sntp>hoek
hoek这是我们现在必须接受的,直到他们更新了他们的依赖关系,还是我们可以告诉我们的应用程序使用更新版本的
hoekloggly请求使用的版本hoek
具有指定漏洞的版本。有
考虑到这里的hoek
包的角色,它不太可能导致真正的安全问题
从用户的角度来看,可以通过使用修复此依赖关系的分支来修复安全问题,例如:
由于loggly
分支版本与log4js
中的约束匹配,这将用固定的loggly
替换原始的
这导致
400错误请求-POST
npm audit出现错误,因此现在可能应该保持原样。您可以通过pull请求或commit来安装依赖项的固定版本。
例如
然后删除package.json中添加的行,例如“loggly”:“github:winstonjs/node loggly#pull/79/head”
在package-lock.json中搜索loggly并在其中显示“version:”
,删除url并将其替换为适当的版本号,例如“1.1.1”。以防其他人遇到以下情况:有一个官方维护的fork:解决该漏洞。此外,log4js的最新版本(上的v2.6.0)不再将loggly作为依赖项。因此,如果您使用的是最新版本的karma,请检查您的package-lock.json或warn.lock,以确保您没有被固定到旧版本的log4js上。
"karma": "^2.0.2",
"loggly": "github:winstonjs/node-loggly#pull/79/head"
npm install github:winstonjs/node-loggly#pull/79/head