NPM-AUDIT发现高漏洞,我应该怎么做?

ogsagwnx  于 2023-03-03  发布在  其他
关注(0)|答案(8)|浏览(179)

npm audit在我的项目上运行并得到了这个
高指令注入
@angular-devkit/构建-Angular [dev]的依赖关系
路径@angular-devkit/build-angular〉@ngtools/webpack〉树删除
更多信息https://npmjs.com/advisories/1432
高指令注入
Package 杀树
已修补〉=1.2.2
@angular-devkit/构建-Angular [dev]的依赖关系
路径@Angular 开发工具包/构建Angular 〉树删除
更多信息https://npmjs.com/advisories/1432

Tree-kill需要更新,但这是angular的dep,不是我的。那又怎样?需要等待angular团队将自己的package.json更新为新版本的tree-kill吗?

hsvhsicv

hsvhsicv1#

您可以修复此问题,而无需等待新版本的包@angular-devkit/build-angular
只需执行以下步骤:
1.通过添加resolutions节和正确版本的软件包tree-kill更新您的package.json文件:

"resolutions": {
  "tree-kill": "1.2.2"
}

1.通过运行以下命令更新您的package-lock.json

npx npm-force-resolutions

1.在项目中重新安装NPM包:

rm -r node_modules
npm install

运行npm audit来检查你的项目是否不再有这个问题。不要忘记提交修改过的文件package.jsonpackage-lock.json
关于NPM Force Resolutions的更多信息。

4zcjmb1e

4zcjmb1e2#

我今天遇到了同样的问题,我通过以下方法解决了它:
1.从node_modules文件夹中删除tree-kill程序包。
1.删除package-lock.json文件。
1.进入node_modules文件夹下的@angular-devkit/build-angular文件夹,编辑package.json文件;将tree-kill版本从1.2.1更改为1.2.2
1.转到node_modules文件夹中的@ngtools/webpack文件夹,并执行与步骤3相同的操作。
运行npm安装后,这.

czq61nw1

czq61nw13#

我也有这个问题,经过一些研究,我发现了一些东西:
NPM throws error on "audit fix" - Configured registry is not supported
当然,这是关于另一个问题的,但是,通过调整那里给出的解决方案,它解决了我的问题。
因此:

  • 删除树删除的node_modules文件夹
  • 像以前一样编辑package-lock.json文件,但使用tree-kill模块。
  • 不要忘记在最后运行npm install

我希望我已经说得够清楚了。

kkbh8khc

kkbh8khc4#

检查GitHub repo,看看是否正在修复。我发现了这个问题:https://github.com/angular/angular-cli/issues/16629和移除依赖性的拉取请求(https://github.com/angular/angular-cli/pull/15894)。

tcbh2hod

tcbh2hod5#

将以下代码添加到package.json

"resolutions": {
"tree-kill":"1.2.2"
}

卸下所有节点模块:

rm -r node_modules

将新版本1.2.2的package-lock.json更新为:

npx npm-force-resolutions

现在安装节点模块:

npm install

这对我有用。

bqjvbblv

bqjvbblv6#

1.从node_modules文件夹中删除tree-kill软件包并删除
package-lock.json文件。
1.在node_modules文件夹下找到@angular-devkit/build-angular文件夹,编辑package.json文件;将tree-kill版本从1.2.1更改为1.2.2
在node_modules文件夹中找到@ngtools/webpack,编辑package.json文件;将tree-kill版本从1.2.1更改为1.2.2
1.运行npm安装。

ix0qys7i

ix0qys7i7#

将package.json中的@angular-devkit/build-angular版本更新为以下版本:

"@angular-devkit/build-angular": "0.13.10"

对我很有效。

xxb16uws

xxb16uws8#

删除node_modules并重新安装有助于解决任何问题。

相关问题