3

NPM Audit显示有一个低级漏洞,clean-css其中已修补>= 4.1.11

               === npm audit security report ===                        

                             Manual Review                                  
         Some vulnerabilities require your attention to resolve             

      Visit https://go.npm.me/audit-guide for additional guidance           

Low             Regular Expression Denial of Service                          

Package         clean-css                                                     

Patched in      >=4.1.11                                                      

Dependency of   ember-cli [dev]                                               
              broccoli-clean-css > clean-css-promise > clean-css            

More info       https://npmjs.com/advisories/785

运行NPM list clean-css显示以下结果:

+-- clean-css@4.2.3
`-- ember-cli@3.16.0
  `-- ember-cli-preprocess-registry@3.3.0
    `-- broccoli-clean-css@1.1.0
      `-- clean-css-promise@0.1.1
        `-- clean-css@3.4.28

如何更新此软件包?

诊断:

运行npm audit fix不起作用。

运行npm outdated不起作用,因为没有结果。

运行以下命令不起作用:

ncu -u
npm update
npm install

运行以下命令不起作用:

运行以下命令不起作用:

npm update --save-dev clean-css-promise
npm update --save-dev broccoli-clean-css
npm update --save-dev clean-css-promise
npm install
4

1 回答 1

3

因此,您可能无能为力,您受制于依赖项的依赖项。

您只能更新您可以控制的那些,在这种情况下是 ember-cli。如果您无法更新它,或者处于最新版本,那么您将等待其他包维护者在他们的依赖项中修复它(如果他们需要这些包,ember-cli 会一直等待,依此类推那个树)。

与此同时,正如其中一条评论所建议的那样,冷静下来。

于 2020-03-19T19:28:13.523 回答