我附上了npm审计的结果。试图自己解决这个问题的努力没有任何结果。如果有人能解释问题的本质,我将不胜感激。很长一段时间都不能解决它。也许解决方案是简单和合乎逻辑的,但不幸的是对我来说并不明显。
High Regular expression denial of service
Package glob-parent
Patched in >=5.1.2
Dependency of gulp [dev]
Path gulp > glob-watcher > chokidar > glob-parent
------------------------------------------------------------
High Prototype Pollution in set-value
Package set-value
Patched in >=4.0.1
Dependency of gulp [dev]
Path gulp > gulp-cli > matchdep > findup-sync > micromatch >
extglob > expand-brackets > snapdragon > base > cache-base >
union-value > set-value
错误在终端中以不同的路径重复。
1条答案
按热度按时间ebdffaop1#
看看你在评论中发布的
package.json
,至少在写这篇文章的时候,你所有的问题都是在开发依赖项中,没有一个是在生产依赖项中。你可以用npm audit --omit=dev
来确认这一点,它(在写这篇文章的时候)显示0个漏洞。此时,一个有效的选择是决定不担心
npm
报告的任何问题。(正如您提供的代码片段中所报告的那样),而且您这样做的可能性微乎其微,在运行gulp
时,它将在您自己的工具上造成“拒绝服务”。谁在乎呢?但如果你真的想摆脱这些东西:卸载
gulp
和check-dependencies
。前者已经两年没有发布新版本了,你也没有在你的package.json
中使用它。后者已经四年没有发布新版本了,它不是你生活中不可缺少的东西。你没有在你的package.json
中使用这两个dev依赖项中的任何一个。如果你打算使用gulp
,请考虑改用grunt
(当前,安装后报告0个漏洞)或regularnpm
scripts。TL;DR:
1.你可以选择忽略这些。它们都在开发依赖项中,至少在撰写本文时是这样。
1.如果您不想忽略它们,请删除
gulp
和check-dependencies
。反正您不会使用它们,至少现在不会。如果您正在遵循教程,请务必忽略教程中的警告,或者查找更新的教程。