1

我有一个 CI 服务,它npm audit在每个构建上运行,并在存在高风险漏洞时发出通知。奇怪的是,当我在npm audit本地运行时 CI 报告高漏洞时,它说found 0 vulnerabilities。过几天就会发现问题...

例如,CI 报告:CVE-2020-7774: The npm package y18n before versions 3.2.2, 4.0.1, and 5.0.5 is vulnerable to Prototype Pollution.

但是在本地开发环境中:
没有问题

CI 和本地都使用 Node15.12.0和 npm 7.6.3

为什么npm audit找不到最新的问题?有什么方法可以强制更新它吗?

npm --verbose audit输出:

在此处输入图像描述

4

0 回答 0