reactjs 在npm安装中发现4个漏洞

jqjz2hbq  于 2023-03-01  发布在  React
关注(0)|答案(6)|浏览(156)

我刚刚开始使用react-native。在安装此软件包时

npm install --save react-native-validator-form

https://github.com/NewOldMax/react-native-validator-form/issues/3
提示我输入npm audit,并显示了4个漏洞(如上所列)
运行2个helper命令后,我被提示另外2个漏洞(见链接)
如何解决剩余的问题?
更新各自的npm包不起作用。
不确定如何继续?

jxct1oxe

jxct1oxe1#

这是新npm版本包含audit命令的结果。
这并不是Angular CLI的新问题,npm只是在npm中引入了新功能来警告用户他们正在安装的软件包中的漏洞-所以Angular中没有“新”漏洞,只是npm现在警告你已经存在的漏洞:
https://blog.npmjs.org/
大多数问题都源于Karma,因此需要在那里进行修复,以便Angular团队引入新的Karma版本karma-runner/karma#2994

qqrboqgw

qqrboqgw2#

如果您运行了npm audit并发现了漏洞,那么您可能会遇到不同的情况:

在建议的更新中发现安全漏洞

  • 运行npm audit fix子命令,自动安装易受攻击依赖项的兼容更新。
  • 单独运行推荐的命令以安装易受攻击的依赖项的更新。(某些更新可能是永久性的更改;有关详细信息,请参阅“SEVER警告”。)

发现需要手动审查的安全漏洞

  • 如果发现安全漏洞,但没有可用的修补程序,则审计报告将提供有关漏洞的信息,以便您进行进一步调查。

来源:审查安全审计报告并根据报告采取行动

h22fl7wq

h22fl7wq3#

即使在运行npm audit fix之后,如果它没有被修复,那么要继续,我认为你应该关闭npm审计。使用下面的命令关闭npm审计。
当安装单个软件包时。

npm install example-package-name --no-audit

在安装所有软件包时关闭npm审计

npm set audit false

它将在你的用户和全局npmrc配置文件中设置审计设置为false。
参考访视:关闭-NPM-审计

fnx2tebb

fnx2tebb4#

我遇到了同样的问题,日志如下所示:

Testing binary
Binary is fine
added 1166 packages from 1172 contributors and audited 39128 packages in 112.505s
found 1 high severity vulnerability

我执行了下面的命令,它被修复了。

npm audit fix

日志显示如下:

Testing binary
Binary is fine
+ @angular-devkit/build-angular@0.11.4
added 18 packages from 47 contributors, removed 14 packages and updated 52 packages in 64.529s
fixed 1 of 1 vulnerability in 39128 scanned packages
vxf3dgd4

vxf3dgd45#

我在安装react-native navigation时遇到了同样的问题,使用:

npm install react-navigation

对我来说,npm audit-fix不太好用。npm曾经有一些限制。对我来说,yarn很好用:

yarn add <package-name>
vnjpjtjt

vnjpjtjt6#

我在运行这个命令时遇到了同样的问题:

npm install ngx-bootstrap --save

...并通过以Administrator身份运行命令提示符解决了此问题。
所以以管理员身份打开命令提示符然后重试。希望它能工作。

相关问题