node.js - npm audit 任意文件覆盖
问题描述
我最近更新了我的 Angular 版本,ng update
在运行npm audit
它时发现了 1 个高严重性漏洞,但没有提供有关如何解决它的建议。它通常建议从 package.json 升级包,例如:“angular-devkit/build-angular”,但我已经在使用他们的最新版本。
=== npm audit security report ===
Manual Review
Some vulnerabilities require your attention to resolve
Visit https://go.npm.me/audit-guide for additional guidance
High Arbitrary File Overwrite
Package tar
Patched in >=4.4.2
Dependency of @angular-devkit/build-angular [dev]
Path @angular-devkit/build-angular > node-sass > node-gyp > tar
More info https://npmjs.com/advisories/803
found 1 high severity vulnerability in 29707 scanned packages
1 vulnerability requires manual review. See the full report for details.
我想安装npm i tar
,但我不确定。
解决方案
以下对我有用:
转到 node_modules > node_gyp > package.json,然后找到依赖项下的 tar 并将 2.0.0 替换为 4.4.8。
然后运行:
- npm 我
- npm 审计
- npm 审计修复
- npm 审计
您应该看到 0 个漏洞。
我已经更新了一些角度项目,每个项目都有同样的问题。做上述工作一直有效。
推荐阅读
- scala - 从 Dataframe 列中提取表情符号并将它们添加到同一 Dataframe Scala Spark 的不同列中
- python - 加速 numpy
- c - realloc() 出了什么问题?
- javascript - 每次来自后台的 Expo 应用程序如何重新启动?
- javascript - nodejs - 未显示 console.log 消息
- macos - 在 macOS Big Sur 上安装 Qt4
- python - 如何将数据框的不同分类数据汇总到不同的列中
- reactjs - MUI Select 组件中的自定义文本
- pyspark - spark.sql() 中不等于什么
- turtle-graphics - 如何将正常图像转换为色差图像?