javascript - node-sass fstream 和 tar 依赖漏洞
问题描述
这是我在 package-lock.json 中的 node-gyp 依赖项
"node-gyp": {
"version": "3.8.0",
"resolved": "http://nexus.prod-admin11.vip.aws1/nexus/content/groups/npm-edmunds/node-gyp/-/node-gyp-3.8.0.tgz",
"integrity": "sha512-3g8lYefrRRzvGeSowdJKAKyks8oUpLEd/DyPV4eMhVlhJ0aNaZqIrNUIPuEWWTAoPqyFkfGrM67MC69baqn6vA==",
"dev": true,
"requires": {
"fstream": "^1.0.0",
"glob": "^7.0.3",
"graceful-fs": "^4.1.2",
"mkdirp": "^0.5.0",
"nopt": "2 || 3",
"npmlog": "0 || 1 || 2 || 3 || 4",
"osenv": "0",
"request": "^2.87.0",
"rimraf": "2",
"semver": "~5.3.0",
"tar": "^2.0.0",
"which": "1"
},
"dependencies": {
"semver": {
"version": "5.3.0",
"resolved": "http://nexus.prod-admin11.vip.aws1/nexus/content/groups/npm-edmunds/semver/-/semver-5.3.0.tgz",
"integrity": "sha1-myzl094C0XxgEq0yaqa00M9U+U8=",
"dev": true
}
}
},
当我在这个包中运行纱线审计时,我得到了很高的漏洞:
节点 sass > 节点 gyp > 焦油
节点 sass > 节点 gyp > tar > fstream
节点 sass > 节点 gyp > fstream
解决方案
这两个漏洞都在次要版本中进行了修补。如果您想获取最新版本的依赖项,您可能需要删除锁定文件并重新安装。
推荐阅读
- r - 如何在 pivot_longer 中使用 names_pattern?
- mongodb - mongodb - 根据作为另一个集合中的字段的使用计数从集合中获取顶级项目
- listview - FormatFloat(#,##0.00, var_number) 和 Format('%n', var_number) 错误四舍五入到千位
- echo - echo 显示我要执行的命令
- python - Django DB 迁移添加新列,但不要编辑表中已有的值
- html - 按钮没有引导我进入第二页
- python - Django / Wagtail 中的大型嵌套层次结构:育儿还是分类?
- python-3.x - 为什么我不断得到我想要的输出和不需要的“无”
- c++ - 如何简化这个 OpenGL .obj 模型加载器示例?
- android - Firebase 数据库子值显示为空