128

当我运行npm install它说found 33 vulnerabilities (2 low, 31 moderate) run `npm audit fix` to fix them, or `npm audit` for details

然而,npm audit fix输出up to date in 11s fixed 0 of 33 vulnerabilities in 24653 scanned packages 33 vulnerabilities required manual review and could not be updated

这是否review意味着它不应该由用户修复?

当我运行npm audit它时,它会给我一个表列表,类似于:

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ browser-sync [dev]                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ browser-sync > easy-extender > lodash                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

在此示例中,链接页面的补救部分说Update to version 4.17.5 or later.。但是,/node_modules/browser-sync/package.json其中有几行:

"devDependencies": {
    "lodash-cli": "4.17.5",
}

并且不再有 lodash 依赖项。所以它应该已经是 v4.17.5。我还检查了/node_modules/lodash/lodash.json哪个有var VERSION = '4.17.10';线路。里面有/node_modules/lodash/package.json这些行:

  "_from": "lodash@^4.17.4",
  "_id": "lodash@4.17.10",

我相信“_id”中显示的版本,而不是“_from”中显示的版本,所以版本是正确的,但漏洞仍然出现在审核列表中。

我还是 node.js 的新手,这些消息让我很困惑。有没有办法手动修复它或摆脱那些消息,我无能为力?

4

7 回答 7

47

lodash-cliindevDependencies不会影响browser-sync项目中的工作方式,devDependencies当软件包作为依赖项安装时会被忽略。

audit报告说的是它具有easy-extender依赖性lodash

browser-sync > easy-extender > lodash

依赖于 Lodash 3,而问题在 Lodash 4 中得到修复。问题可以通过分叉easy-extender、更新和安装它而不是来自 NPM 公共注册表的包来解决。但是这种依赖并没有真正的问题。

audit报告重要性应手动评估。即使嵌套依赖存在安全风险,但这并不意味着使用了引入此风险的功能。这也不意味着即使使用它,由于使用方式也会带来真正的风险。

browser-sync是一种不用于生产的开发工具,它的漏洞可以被利用的场景并不多。而且原型污染根本不是一个漏洞,只是一个包没有遵循良好实践的通知,它可以被忽略。

通常,这是修复报告的漏洞的方法:

  • 进行健全性检查
  • 如果这是一个真正的问题,请检查易受攻击包的存储库以查找现有问题PR
  • 如果没有,请提交问题
  • 分叉一个存储库或使用现有 PR 作为git 依赖项,直到它在 NPM 版本中得到修复
  • 在嵌套依赖项的情况下,在多个嵌套级别执行此操作

大多数情况下,您不会超越健全性检查,唯一的问题是“漏洞”会使审计报告变得混乱并隐藏真正的漏洞。

patch-package可以帮助就地修补嵌套的依赖项,但这不会影响报告。

resolutions可以通过field强制 Yarn 1 和 2 中嵌套依赖项中的特定依赖项版本,这将影响审计报告。将来可能会在 NPM中本地执行此操作。目前 NPM 中的替代方案是提供较少控制的第三方npm-force-resolutions实用程序,目前它强制解决所有依赖项,而不是特定依赖项。

请注意,通过强制依赖项使用它不是设计为使用的嵌套依赖项,它可能随时被破坏。这尤其适用于npm-force-resolutions,这是一个生硬的工具,可以同时影响许多嵌套的依赖项。

于 2018-07-17T11:43:09.010 回答
14

如果您绝对确定要跳过审核,可以通过附加 --no-audit 来实现

 npm install --no-audit
于 2019-10-26T10:33:10.303 回答
10

'npm audit fix' 将增加 package.json 中的依赖版本,这可能会导致代码中断。所以更好的方法是打开 package-lock.json 并将依赖/子依赖版本更新为所需版本。在存储库中维护 package-lock.json。

有时漏洞来自开发包,在这种情况下忽略这些漏洞,因为这些漏洞没有在生产中被拾取。

于 2020-02-21T12:09:56.730 回答
3

用这个

npm 审计修复 --force --production

可能会解决你的问题

于 2021-07-07T02:13:30.233 回答
0

你可以用武力也喜欢npm audit fix --force

于 2022-02-25T10:26:16.730 回答
-3

我试过了,它对我有用,运行以​​下命令:

> npm audit fix    
> npm set audit false
于 2021-09-10T07:17:14.393 回答
-20

我的系统中出现的大部分问题是由于 npm 包引起的。我试过了,

npm un npm

您不必再次安装。

只需再次运行程序。它对我有用。

于 2019-10-21T12:05:19.930 回答