Node.js 如何修复Seriate和Lodash漏洞
对于我的项目,我使用了一个包,SeriateNode.js 如何修复Seriate和Lodash漏洞,node.js,npm,lodash,Node.js,Npm,Lodash,对于我的项目,我使用了一个包,Seriate npm安装系列化 但是,运行此命令会产生以下结果: 发现17个漏洞(9个低,1个中等,7个高) 我运行了npm-audit和npm-audit-fix但什么都没有。我还研究了依赖关系,Lodash似乎有一个安全问题(应该在4.17.11中修复) 我怎样才能修好这些?我尝试过像这样更新lodash:npm安装lodash@4.17.11但是,这也不起作用 这是否也需要担心,它是从一个本身安全的本地服务器上运行的 感谢您的帮助npm audit发现的安全
npm安装系列化
但是,运行此命令会产生以下结果:
发现17个漏洞(9个低,1个中等,7个高)
我运行了npm-audit
和npm-audit-fix
但什么都没有。我还研究了依赖关系,Lodash似乎有一个安全问题(应该在4.17.11中修复)
我怎样才能修好这些?我尝试过像这样更新lodash:npm安装lodash@4.17.11
但是,这也不起作用
这是否也需要担心,它是从一个本身安全的本地服务器上运行的
感谢您的帮助npm audit发现的安全问题不能自动修复(即通过将软件包版本更改为等效的安全版本),它们需要手动检查,因此不能简单地通过
npm audit fix
修复<代码>npm审计修复--强制将是一个选项(注意:引入了破坏性的更改!),但对我来说,这17个问题都没有修复
安装系列化的当前版本时,lodash@4.7.11
已经需要/安装,因此npm ilodash@4.7.11
不会改变任何东西
在你的案件中,这些问题是否危险,确实需要你方进行调查。请注意,并不是因为lodash
不安全,使用lodash
是-仅在某些情况下,仅在某些机器中,仅用于某些功能等。从阅读与安全问题相关的NPM咨询开始(如).如npm audit所述,不会自动解决Lodash安全漏洞
- 发现需要手动检查的安全漏洞
- 要解决此漏洞,您可以
- 检查缓解因素
- 如果存在修复程序,则更新相关程序包
- 修复该漏洞
npm update
感谢您的解释,我没有使用您的链接中指定的命令,我已经在Seriate的github上发布了一个