เมื่อฉันเรียกมันบอกว่าnpm installfound 33 vulnerabilities (2 low, 31 moderate)
run `npm audit fix` to fix them, or `npm audit` for details
อย่างไรก็ตามnpm audit fixผลลัพธ์up to date in 11s
fixed 0 of 33 vulnerabilities in 24653 scanned packages
33 vulnerabilities required manual review and could not be updated
ไม่ว่าreviewหมายความว่ามันไม่ควรจะได้รับการแก้ไขโดยผู้ใช้?
เมื่อฉันเรียกใช้npm auditจะให้รายการตารางคล้ายกับสิ่งนี้:
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ browser-sync [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ browser-sync > easy-extender > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577 │
└───────────────┴──────────────────────────────────────────────────────────────┘
Update to version 4.17.5 or later.ในการนี้ส่วนการฟื้นฟูตัวอย่างของการเชื่อมโยงหน้ากล่าวว่า อย่างไรก็ตาม/node_modules/browser-sync/package.jsonมีบรรทัด:
"devDependencies": {
"lodash-cli": "4.17.5",
}
และไม่มีการพึ่งพา lodash อีกต่อไป ดังนั้นมันควรเป็น v4.17.5 อยู่แล้ว ฉันตรวจสอบด้วยว่า/node_modules/lodash/lodash.jsonมีvar VERSION = '4.17.10';สายไหนบ้าง ใน/node_modules/lodash/package.jsonบรรทัดเหล่านี้:
"_from": "lodash@^4.17.4",
"_id": "lodash@4.17.10",
ฉันเชื่อว่าเวอร์ชันที่แสดงใน "_id" ไม่ใช่ใน "_from" ดังนั้นเวอร์ชันจึงถูกต้อง แต่ช่องโหว่ยังคงปรากฏในรายการตรวจสอบ
ฉันยังใหม่ใน node.js และข้อความเหล่านั้นทำให้ฉันสับสนมาก มีวิธีใดบ้างในการแก้ไขด้วยตนเองหรือกำจัดข้อความเหล่านั้นฉันไม่สามารถทำอะไรได้เลย