问题标签 [npm-audit]

当您npm install使用新的npm 6执行时， 我收到一条消息，告诉我我有一些漏洞：

[!] 发现 75 个漏洞 [审核了 4867 个包]

严重性：66 低 | 4 中等 | 5 高

运行npm audit以获取更多详细信息

我跑了npm audit，但得到了一个截断的漏洞列表。

如何仅检查高漏洞列表？

谢谢

在我的项目中每次安装新的 NPM 模块后，我都会收到以下错误：

然后我运行npm audit并获得了 40 个漏洞的详细信息，例如：

或这个 ：

所以我运行npm install npm@6.0.1（即使我已经有 6.0.1）然后npm update fsevents --depth 2但之后我重新运行npm audit并且没有任何改变，我仍然有相同的 40 个漏洞，其中一些非常可怕。我该怎么办 ？

npm 版本 6.0.1 运行 npm audit 与许多项目一样，我们的项目中存在一些漏洞。

报告建议的第一件事是：

我这样做了几次，以减少问题的数量，但这一次不起作用。知道为什么吗？

我最近发现了该npm audit功能并运行命令来查找我正在处理的项目中的漏洞。遇到了一堆（超过100个）。

npm建议运行npm audit fix将修复所有漏洞，但具有重大更改的漏洞除外。我的代码中没有遇到任何此类漏洞，现在它显示 0 个漏洞。

我的问题是，当我将代码推送到 github 时，是否已经为克隆/分叉此 repo 的人修复了这些漏洞？

对于上下文，node_modules在我的文件中被忽略.gitignore（这意味着它们不会与代码一起推送到 github）。既然node_modules这些“漏洞修复程序”被应用在哪里，它们是否会持续存在于随后分叉/克隆此 repo 的每个人中？

如果是这样，怎么做？有关系package-lock.json吗？

如果没有，有没有办法使这些更改持久化？

我在 Angular 中使用 ngx-papaparse 得到这个错误。它工作正常，然后我尝试将 jquery 添加到我的项目中，并且在此过程中被警告安全问题，所以我按照说明并尝试了 npm audit fix。在这个过程中，有些事情似乎出了差错，现在我开始......

./node_modules/papaparse/papaparse.min.js 中的错误找不到模块：错误：无法解析“/mnt/c/Users/j2wil/Documents/CodingDojo/projects/Scouts/public/node_modules/papaparse 中的“流”

我尝试了很多方法，包括删除 node_modules 和 npm install。同时删除 packages.json 并重新安装。但我一直看到同样的错误。

跑步后npm audit我有（这只是其中之一）一个温和的警告

我可以看到这hoek是对业力的依赖（更进一步的链条）。查看 GitHub 上的 Karma 存储库，我可以看到已经提出了这个问题，但没有优先考虑立即修复。

这是我们现在必须接受的东西，直到他们更新了他们的依赖关系，还是我们可以告诉我们的应用程序使用更新版本hoek并应用于所有包？

当我运行npm install它说found 33 vulnerabilities (2 low, 31 moderate) run `npm audit fix` to fix them, or `npm audit` for details。

然而，npm audit fix输出up to date in 11s fixed 0 of 33 vulnerabilities in 24653 scanned packages 33 vulnerabilities required manual review and could not be updated

这是否review意味着它不应该由用户修复？

当我运行npm audit它时，它会给我一个表列表，类似于：

在此示例中，链接页面的补救部分说Update to version 4.17.5 or later.。但是，/node_modules/browser-sync/package.json其中有几行：

并且不再有 lodash 依赖项。所以它应该已经是 v4.17.5。我还检查了/node_modules/lodash/lodash.json哪个有var VERSION = '4.17.10';线路。里面有/node_modules/lodash/package.json这些行：

我相信“_id”中显示的版本，而不是“_from”中显示的版本，所以版本是正确的，但漏洞仍然出现在审核列表中。

我还是 node.js 的新手，这些消息让我很困惑。有没有办法手动修复它或摆脱那些消息，我无能为力？

我正在使用nightmare测试。运行 npm audit 后，我​​收到有关 lodash Prototype 污染的警告。我试图通过运行来解决这个问题，npm audit fix但没有结果。之后我尝试使用--force但仍然得到：

有什么想法可以解决吗？

这是一个屏幕截图：

我最近将我们网站上的更新推送到我们的服务器，这不知何故导致它被感染，我们的一堆文件被损坏，用户开始被重定向到随机网站等。显然这是由我们的一个依赖项引起的。我正在使用 npm 来管理我们网站的依赖项，并且最近了解了 npm 审计。每当我运行 npm audit 时，有 15 个漏洞需要手动审查，我尝试通过更新到报告中每个的更多信息部分建议的版本来修复它们，但是当我运行 npm audit 时，漏洞仍然存在。我尝试更新路径中相关包中的版本报告的部分，当我运行 npm audit 时它仍然存在。我显然不想再次上传有漏洞的文件并破坏我们服务器上的所有站点，我只是非常不确定如何修复这些由 npm audit 提出的安全漏洞。

例如，这是报告中唯一出现的高风险：

高│正则表达式拒绝服务
包│tough-cookie
补丁在│>=2.3.3
依赖关系│gulp-uncss [dev]
路径│gulp-uncss > uncss > request >ough-cookie
更多信息│ https://nodesecurity .io/advisories/525

当我在我的 package.json 以及请求中将包更新为 >= 2.3.3 然后运行 ​​npm audit 时，漏洞仍然存在。知道如何修复此/修复漏洞吗？

我正在Mintty 2.8.4用作我的终端来安装 npm 包。

我安装了一个名为的 npm 包的早期版本，moment我收到了有关漏洞的警告。我的终端给我的建议之一是运行npm audit. 在运行该命令时，我的终端无法识别它。它会抛出其他已识别命令的列表。

谁能帮我解释如何audit在这个终端上运行？

我附上了错误的详细图像和我正在使用的终端。