为了解决漏洞和潜在的安全威胁,我们公司已经开始使用 Nexus IQ。我已将 VS Code 插件配置为指向内部 IQ Server 数据源。随着报告的生成,我们被要求解决 9 和 10 范围内的威胁级别以及任何违反许可证的情况。当前项目没有违反许可证,但报告显示许多项目是传递依赖项并且没有直接安装。我正在使用带有材料和安全管道的 Angular 10。我不知道如何更新传递依赖项。像 lodash 4.17.10 这样的例子有多次出现 & IQ 建议将其升级到 lodash 4.17.20。js-yaml 3.12.0 但建议在 IQ 上使用 3.13.1。
作为一名 Java 开发人员,从 Eclipse 迁移到推荐版本是完全可行的,但在 VS Code 中,我看不到任何迁移选项,也不知道如何修改可传递的 javascript 库。
在此先感谢并提供有关标准做法的友好建议。