sap-cloud-sdk - 除了最新的依赖版本之外,更新 cloud-s4-sdk-pipeline 的 Npm 依赖审计错误
问题描述
我们切换到最新版本 (21) 的 cloud-s4-sdk-pipeline。新功能有效,但除了最新的依赖版本外,我们还会遇到npm 依赖审计错误。
调查结果摘要
• High Arbitrary File Overwrite vulnerability found in dependency "tar", see https://npmjs.com/advisories/803 for details.
• High Code Injection vulnerability found in dependency "js-yaml", see https://npmjs.com/advisories/813 for details.
• Moderate Regular Expression Denial of Service vulnerability found in dependency "mime", see https://npmjs.com/advisories/535 for details.
• Moderate Regular Expression Denial of Service vulnerability found in dependency "underscore.string", see https://npmjs.com/advisories/745 for details.
• Moderate Prototype Pollution vulnerability found in dependency "lodash", see https://npmjs.com/advisories/782 for details.
• Moderate Denial of Service vulnerability found in dependency "js-yaml", see https://npmjs.com/advisories/788 for details.
你有过类似的问题吗?有可用的解决方案吗?
解决方案
从 v20 到 v21 的主要变化之一是我们现在正在审核我们可以在您的项目中找到的所有 package.json 文件(对于 whitesource 扫描也是如此)。
我假设您的项目就是这种情况,因此会弹出新的审计结果。
我建议您npm audit --fix
在 package.json 的目录中本地执行并提交生成的 package-lock.json。如果这也不能解决您的问题,最后一个解决方案是在 pipeline_config.yaml 中将这些 npm 审计问题标记为“已审计”,如此处所述
推荐阅读
- c++ - 如何访问 gdb 中 std::set 元素的值?
- javascript - 自动重定向到 EXPO url (exp://...) 的网页
- java - 在尝试切换到它之前等待窗口打开
- r - 如何修复“二进制运算符的非数字参数”错误?
- python - Python/Selenium - 不知道如何解决循环问题
- python - 动态 Oracle 查询以对表中的类生成选择计数
- javascript - 用于拆分右字符串值的 Google 脚本
- node.js - 在 express/multer 中读取 CSV 文件而不将文件保存在服务器上
- sql-server - SQL Server:While 循环需要很长时间(12 秒)才能仅处理 2000 条记录
- java - 使用 app.yml 配置的 Google Cloud App Engine 标准 spring boot java 11 maven deploy 中的服务名称没有改变