-1

在 docker image scan post build 中获取 node.js 的路径解析的图像漏洞错误。

节点版本:12.16.1 图片:alpine3:3.10.2

漏洞图像扫描错误

修复状态 :1.0.7

所有版本的包路径解析都容易受到通过 splitDeviceRe、splitTailRe 和 splitPathRe 正则表达式的正则表达式拒绝服务 (ReDoS) 的攻击。ReDoS 表现出多项式最坏情况时间复杂度。

我尝试了以下命令来解决此问题。

RUN npm install path-parse@1.0.7 \
    && yarn add path-parse \

and

RUN npm install --save path-parse \

但是在代码更改后,两个命令都尝试了, docker build 仍然扫描显示相同的结果。

请让我知道是否有针对此问题的任何指示。

参考:https ://www.npmjs.com/package/path-parse

提前致谢。

4

1 回答 1

0

我也面临同样的问题。我使用的node版本是14.17.3 npm v6.14.13

Package-lock.json 具有正确版本的 path-parse (1.0.7)

我尝试在 package.json 文件的分辨率部分中固定路径解析。看到了同样的问题。

于 2021-08-19T15:37:43.773 回答