如何修复需要semver-major依赖更新的npm漏洞?

vuv7lop3  于 2023-05-29  发布在  其他
关注(0)|答案(4)|浏览(210)

我从https://github.com/kitware/paraviewweb克隆了ParaViewWeb,然后执行了以下操作:-

$ npm install
$ npm audit fix

留给我这个:

found 42 vulnerabilities (9 low, 23 moderate, 10  high) in 41716 scanned packages
14 vulnerabilities require semver-major dependency updates.
28 vulnerabilities require manual review.

如何修复需要半主要依赖项更新的14个漏洞?

kuarbcqp

kuarbcqp1#

当你运行npm audit时,应该有一行告诉你如何更新它,例如:

# Run  npm install --save-dev example@5.0.2  to resolve 1 vulnerability
# SEMVER WARNING: Recommended action is a potentially breaking change

只要执行它来修复它。

ny6fqffe

ny6fqffe2#

如果您已经确定需要运行所有更新,请用途:

npm audit fix --force

npm Docs
如果元漏洞链一直延伸到根项目,并且在不更改其依赖范围的情况下无法更新,则npm audit fix将需要--force选项来应用补救。如果修正不需要更改依赖范围,则所有易受攻击的软件包将更新到没有针对其发布的建议或元漏洞的版本。

iszxjhcz

iszxjhcz3#

如果你在我的情况下,目前没有解决办法。
您可能需要自己完成修复:进入包并手动更改它的package.json版本。

在软件包上打开一个问题,并希望它仍然由创建者维护。
https://docs.npmjs.com/auditing-package-dependencies-for-security-vulnerabilities
有一个建议的修复程序列表。

1dkrff03

1dkrff034#

通过此命令升级npm

npm install npm@latest -g

相关问题