node.js - 如何解决以 npm 作为依赖包的 npm 漏洞?
问题描述
所以我跑npm audit了,所有的漏洞都是由于某些依赖npm,特别node-gyp是使用易受攻击的tar. 请注意,node-gyp我的package.json.
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary File Overwrite │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tar │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=2.2.2 <3.0.0 || >=4.4.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ npm │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ npm > npm-lifecycle > node-gyp > tar │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/803 │
└───────────────┴──────────────────────────────────────────────────────────────┘
我尝试更新到最新版本的 npm,但仍然得到相同的审计报告。它非常嵌套。我该如何解决这个问题?
解决方案
推荐阅读
- php - 限制 Woocommerce 描述中的字数(使用 php)
- sass - 在 NextJS 中使用带有样式 jsx 的组件上的 mixins
- python - Pandas:过滤值出现在对的任一端,但不是在组内
- typescript - 当不同网络上的对等点时,RTCPeerConnection 失败
- python - 如何访问驻留在包含的子模块中的 pytest 固定装置?
- twitter - 用于检索用户一天内发布的推文总数的 Twitter 端点
- android - 将多个项目添加到 SQLite 数据库 Android
- python - 如何增加 CNN(Unet)模型的层(深度)
- inline - 背包 laravel 中的内联创建
- javascript - React 组件可重用性:相同的代码来包装 2 个不同的组件