2

我在应用程序上的 yarn.lock 文件中有一个针对 js-yaml 的高严重性 git hub 安全漏洞rails

Remediation
Upgrade js-yaml to version 3.13.1 or later. For example:

js-yaml@^3.13.1:

  version "3.13.1"

我已经运行yarn upgrade js-yaml更新了 package.json 中的版本: "js-yaml": "^3.13.1",

但是问题仍然出现在github中。

我也尝试过删除 yarn.lock 并运行yarn install以及使用重复数据删除工具yarn-deduplicate ./yarn.lock(在其他情况下对我有用。但是尊敬仍然存在。

这是 js-yaml 在我的 yarn.lock 文件中的样子:

js-yaml@^3.12.0, js-yaml@^3.13.1:
  version "3.13.1"
  resolved "https://registry.yarnpkg.com/js-yaml/-/js-yaml-3.13.1.tgz#aff151b30bfdfa8e49e05da22e7415e9dfa37847"
  integrity sha512-YfbcO7jXDdyj0DGxYVSlSeQNHbD7XPWvrVWeVUujrQEoZzWJIRrCPoyk6kL6IAjAG2IolMK4T0hNUe0HOUs5Jw==
  dependencies:
    argparse "^1.0.7"
    esprima "^4.0.0"

js-yaml@~3.7.0:
  version "3.7.0"
  resolved "https://registry.yarnpkg.com/js-yaml/-/js-yaml-3.7.0.tgz#5c967ddd837a9bfdca5f2de84253abe8a1c03b80"
  integrity sha1-XJZ93YN6m/3KXy3oQlOr6KHAO4A=
  dependencies:
    argparse "^1.0.7"
    esprima "^2.6.0"

我想知道:

  1. 如何解决此特定问题

  2. 保持 yarn.lock 文件最新以避免安全漏洞的最佳实践是什么。yarn upgrade当我(例如https://github.com/yarnpkg/yarn/issues/3967)可能有一些我可以做不同的事情时,似乎我不是唯一一个遇到重复问题的人?

4

1 回答 1

4

我刚刚遇到了同样的情况。如果您运行yarn why js-yaml,您可能会发现 js-yaml 是一个嵌套依赖项,因此当您升级 js-yaml 时,还有另一个依赖项(例如我的 css-loader)需要旧版本的 js-yaml。一种解决方案(尽管这可能不是最好的,我很抱歉)是运行升级:然后在package.jsonyarn upgrade js-yaml@version中添加 js-yaml 作为分辨率 。将您的更改推送到 github,漏洞错误应该会消失。有关分辨率的信息,请参阅此链接

于 2019-08-28T16:42:31.930 回答