Npm 由于凭据存储和凭据存储不安全，web3安装失败

在带有npm 7.12.0版的Ubuntu上安装最新的web3 1.3.5版失败，出现了几个严重错误。修复的典型时间范围是什么

npm审计报告 下划线1.3.2-1.12.0
严重性：高
任意代码执行- 没有可用的修复程序
节点\模块/下划线

---

…web3 bzz我们在项目的ci管道中运行

npm ci和&npm audit--audit level=high

，我们今天遇到了这个问题

关于这一点，已经有了一些新的看法：

我们现在正在等待新版本（补丁）。在此之前，一个快速修复和可能的解决方案是在package-lock.json中搜索

下划线

，并手动更新那里的

下划线

版本，因为

npm audit fix

不会自动修复它

我们使用了1.9.1版本，并将其更新为1.12.1（在审计日志中作为稳定版本列出）。请为每个下划线的出现更改以下行：

• 版本：

  1.9.1

  =>

  1.12.1

• 已解决：

  https://registry.npmjs.org/underscore/-/underscore-1.9.1.tgz

  =>

  https://registry.npmjs.org/underscore/-/underscore-1.12.1.tgz

• 完整性：

  sha512-5/4etnCkd9c8gwgowi5/om/mYO5ajCaOgdzj/oW+0eQV9WxKBDZw5+ycmKmeaTXjInS/W0BzpGLo2xR2aBwZdg==

  sha512-hEQt0+zldvhumhebkxl4x1btdy7avvofhz9kz4ai26x9srae+y3m83xul1up2jnjnjndvccpehdugh+9pP1Tw=

这样，

npm ci

将从package-lock.json获取版本，并且不会发生错误。但是npm安装将忽略它

如果需要，这两个命令之间有一个区别：

更新

您还可以使用软件包来设置下划线软件包的特定版本：

添加

“决议”：{“下划线”：“1.12.1”}

到您的package.json

（可选）添加每次在

npm安装开始之前运行的预安装脚本：
“脚本”：{“预安装”：“npx npm强制解析”}

运行
npm install
或
npx npm force resolutions
并在package-lock.json中查看您的更改。此外，
npm audit
也不会发现这些漏洞
最终更新

所有修复都可用后，您可以更新本地软件包。
谢谢，问题已解决。我看到github上的ChainSafe/web3.js包含下划线修复，很快就会出现在NPM上

另外，
npm ls-all | grep下划线
显示此库在第2、第3和第4级嵌套依赖项。感谢链接到npm上的npm force resolution以获取背景信息、进一步说明和警告，提醒可能存在的安全漏洞。我有一个沙盒学习系统