Npm 由于凭据存储和凭据存储不安全,web3安装失败
在带有npm 7.12.0版的Ubuntu上安装最新的web3 1.3.5版失败,出现了几个严重错误。修复的典型时间范围是什么 npm审计报告 下划线1.3.2-1.12.0Npm 由于凭据存储和凭据存储不安全,web3安装失败,npm,web3,Npm,Web3,在带有npm 7.12.0版的Ubuntu上安装最新的web3 1.3.5版失败,出现了几个严重错误。修复的典型时间范围是什么 npm审计报告 下划线1.3.2-1.12.0 严重性:高 任意代码执行- 没有可用的修复程序 节点\模块/下划线 …web3 bzz我们在项目的ci管道中运行npm ci和&npm audit--audit level=high,我们今天遇到了这个问题 关于这一点,已经有了一些新的看法: 我们现在正在等待新版本(补丁)。在此之前,一个快速修复和可能的解决方案是在pac
严重性:高
任意代码执行- 没有可用的修复程序
节点\模块/下划线
…web3 bzz我们在项目的ci管道中运行
npm ci和&npm audit--audit level=high
,我们今天遇到了这个问题
关于这一点,已经有了一些新的看法:
我们现在正在等待新版本(补丁)。在此之前,一个快速修复和可能的解决方案是在package-lock.json中搜索下划线
,并手动更新那里的下划线
版本,因为npm audit fix
不会自动修复它
我们使用了1.9.1版本,并将其更新为1.12.1(在审计日志中作为稳定版本列出)。请为每个下划线的出现更改以下行:
- 版本:
=>1.9.1
李>1.12.1
- 已解决:
=>https://registry.npmjs.org/underscore/-/underscore-1.9.1.tgz
李>https://registry.npmjs.org/underscore/-/underscore-1.12.1.tgz
- 完整性:
sha512-hEQt0+zldvhumhebkxl4x1btdy7avvofhz9kz4ai26x9srae+y3m83xul1up2jnjnjndvccpehdugh+9pP1Tw=sha512-5/4etnCkd9c8gwgowi5/om/mYO5ajCaOgdzj/oW+0eQV9WxKBDZw5+ycmKmeaTXjInS/W0BzpGLo2xR2aBwZdg==
npm ci
将从package-lock.json获取版本,并且不会发生错误。但是npm安装将忽略它
如果需要,这两个命令之间有一个区别:
更新
您还可以使用软件包来设置下划线软件包的特定版本:
“决议”:{“下划线”:“1.12.1”}
到您的package.json李>
npm安装开始之前运行的预安装脚本:“脚本”:{“预安装”:“npx npm强制解析”}
李>
运行npm install
或npx npm force resolutions
并在package-lock.json中查看您的更改。此外,npm audit
也不会发现这些漏洞
最终更新
所有修复都可用后,您可以更新本地软件包。谢谢,问题已解决。我看到github上的ChainSafe/web3.js包含下划线修复,很快就会出现在NPM上
另外,npm ls-all | grep下划线
显示此库在第2、第3和第4级嵌套依赖项。感谢链接到npm上的npm force resolution以获取背景信息、进一步说明和警告,提醒可能存在的安全漏洞。我有一个沙盒学习系统