Vue.js 如何修复vue cli服务漏洞?
我刚刚尝试用Vue.js 如何修复vue cli服务漏洞?,vue.js,security,npm,vue-cli,Vue.js,Security,Npm,Vue Cli,我刚刚尝试用@vue/cli4.3.1创建一个新项目,新安装了Ubuntu 19.10,npm 6.14.4。当我将cd放入项目并运行npm install时,我得到以下信息: found 1 high severity vulnerability run `npm audit fix` to fix them, or `npm audit` for details 运行npm审核修复程序 fixed 0 of 1 vulnerability in 1285 scanned package
@vue/cli4.3.1
创建一个新项目,新安装了Ubuntu 19.10,npm 6.14.4
。当我将cd
放入项目并运行npm install
时,我得到以下信息:
found 1 high severity vulnerability
run `npm audit fix` to fix them, or `npm audit` for details
运行npm审核修复程序
fixed 0 of 1 vulnerability in 1285 scanned packages
1 vulnerability required manual review and could not be updated
运行npm audit
时,我得到
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ http-proxy │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @vue/cli-service [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @vue/cli-service > webpack-dev-server > │
│ │ http-proxy-middleware > http-proxy │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1486 │
└───────────────┴──────────────────────────────────────────────────────────────┘
这是预期的吗?正常吗?可能修复吗?这让我担心,在这样一个干净的环境中,没有安装恶意软件,但我也不是npm专家。。。我应该在这里做什么?我正在建立一个新的Vue项目,遇到了同样的问题。我在Github Vue/Vue cli上找到了一篇文章,他们在那里解决了这个问题: 那篇帖子说他们正在跟踪这个问题,但作为一个提示: 注意:由于它仅用于本地开发服务器,因此它不是 Vue CLI项目上的实际安全漏洞。别介意 如果@vue/cli服务是您的应用程序中此依赖关系的唯一来源,则会发生此问题 项目 所以,我一直往前走,暂时忽略了它。我希望当他们更新NPM包时,它将使用更新的http代理来解决这个问题
据跟踪程序本身称,它在http proxy版本1.18.1中已修复。我建议,在创建vue cli项目之前,将node和npm升级到可用的最新版本。我也遇到了同样的问题,这部分解决了我的问题(从之前的108个漏洞到之后的45个)。谢谢您的回答。我可以通过在项目文件夹中运行
ncu-u
,使用npm check updates
(npm I-g npm check updates
)更新我在package.json
中的依赖项来解决这个问题,之后它没有报告任何漏洞。