npm - 了解 NPM 漏洞 - 隧道代理
问题描述
所以我在一个名为tunnel-agent
. 运行npm audit
依赖此包的包后列出:
- gatsby-plugin-sharp
好的,很好,我更新了这个,一切都好吗?NO.. 仍然列为易受攻击,所以现在我开始寻找这会导致什么的兔子洞。
跑步npm list tunnel-agent
我要找出谁依赖这个包。
所以现在这个漏洞已经修复了,tunnel-agent@0.6.0
但我有一件事说它正在使用tunnel-agent@0.4.3
. 但这是在同一个包中gatsby-plugin-sharp
,为什么它没有修复?
我前往 github 问题并发现因为gatsby-plugin-sharp
使用imagemin-mozjpeg
> caw@1.2.0
>tunnel-agent@0.4.3
我仍然被卡住了,对吗?
所以我要问的是,在不依赖插件作者更新他们的依赖关系的情况下,你将如何使用caw@2.0.1
which then usedtunnel-agent@0.6.0
来一劳永逸地消除这个漏洞?
解决方案
这都是环境变量。但是您可以分叉尚未合并发布的开放拉取请求。然后创建具有修复程序的 on npm 包。 https://github.com/request/tunnel-agent/pull/45 yarn 消除了这些错误。
而“纱线”没有这些问题。因为它是为本地范围设计的。
推荐阅读
- android - onCompeletionListener() 不是每次都调用并且随机播放和重复不能正常工作
- javascript - 浏览器控制台中的 Jest 单元测试模块导出错误
- c - 如果两个任务尝试同时访问结构的不同部分(在 c 中)会发生什么?
- nginx - nginx 将 http 重定向到 https 域
- c# - 如何在c#中对元素进行排名,尤其是当它有重复项时
- c# - 即使有明确的等待,Selenium 也会抛出 NoSuchElementException
- spring - Gradle Spring mvc 验证数据类递归 Kotlin
- python - Eventlet heroku flasksocketio 应用程序不工作
- c# - EF Core 播种用户数据在用户表警告中获得重复角色
- c# - 使用 dotnet 和 MsBuild 构建 .NET 应用程序有什么区别?