npm审核报告手册审核混淆点
在我的angular项目中,我运行了npm审核报告手册审核混淆点,npm,audit,Npm,Audit,在我的angular项目中,我运行了npm audit来检查安全漏洞,基于文档,我可以理解大部分报告 但未完全理解手动审查部分,相关报告如下: # Run npm install jquery@3.4.1 to resolve 2 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change Moderate Prototype Pollution
npm audit
来检查安全漏洞,基于文档,我可以理解大部分报告但未完全理解
手动审查部分,相关报告如下:
# Run npm install jquery@3.4.1 to resolve 2 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
Moderate Prototype Pollution
Package jquery
Dependency of jquery
Path jquery
More info https://nodesecurity.io/advisories/796
High Cross-Site Scripting (XSS)
Package jquery
Dependency of jquery
Path jquery
More info https://nodesecurity.io/advisories/328
Manual Review
Some vulnerabilities require your attention to resolve
Visit https://go.npm.me/audit-guide for additional guidance
Moderate Prototype Pollution
Package jquery
Patched in >=3.4.0
Dependency of ms-signalr-client
Path ms-signalr-client > jquery
More info https://nodesecurity.io/advisories/796
High Cross-Site Scripting (XSS)
Package jquery
Patched in >=3.0.0
Dependency of ms-signalr-client
Path ms-signalr-client > jquery
More info https://nodesecurity.io/advisories/328
因此我的理解是:jquery
存在一些安全问题,jquery
是ms signar客户端的依赖项。我还检查了ms signar client
是否用于dependency
,而不是package.json中的devDependency
。所以我需要修复它,因为它会影响生产代码。对吧?
因此,SEMVER警告
意味着如果我将jquery
升级到3.4.1,那么ms signal客户端
可能会中断。对吧?
我能做什么?下一步是使ms signar客户端
支持升级的jquery
,对吗
那么,这方面的最佳做法是什么?我目前的计划是暂时跳过它。多谢各位