security - 如何快速找到 npm audit 建议的依赖链的正确修复?
问题描述
我正在参与一个开源项目,该项目目前使用 phantom.js 作为开发依赖项。npm audit
显示 phantom.js 有 13 个漏洞,并且一些依赖链有些长:
Moderate Prototype Pollution
Package hoek
Patched in > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of phantomjs [dev]
Path phantomjs > request > hawk > sntp > hoek
More info https://npmjs.com/advisories/566
我正在考虑建议对 phantomjs 和底层包进行一些更新,但是 npm audit 提供的信息没有那么有用:
- 他们建议
hoek
5.0.3 或更高版本会很好, - 但他们没有显示
sntp
使用的版本, - 如果有更高版本
sntp
使用 的安全版本hoek
, - 和同样
hawk
的request
更新request
到一些较新的版本可能会立即修复 phantomjs 的漏洞,而不建议对或进行任何更新hawk
,但认为这听起来像是很多手动工作。是否有任何工具可以帮助找到修复报告的漏洞的最短方法?
(我知道盲目更新实际上可能会引入新的错误/其他漏洞,但至少我们可以得到如何进行的建议)sntp
hoek
解决方案
推荐阅读
- c++ - 我的超类中带有结构定义的模板问题
- vba - 如何从 MS Access 使用 VBA 发送 HTML 电子邮件
- python - 正则表达式匹配多个列表中的所有字符串
- windows - 如何将我最新的 NodeJS/TypeScript 分支提交持续部署到 Windows 机器上?
- amazon-web-services - 如何识别 AWS S3 存储桶中占用带宽最多的对象?
- java - 如何在@ApiOperation for Swagger 的响应类中注入动态对象
- c++ - 来自方法的 C++ 引用变量
- spring - ARJUNA017017:Oracle 的资源登记失败异常,但 MySQL 没有
- r - 基于数据集的特征在R中有条件地实现代码
- git - 如何制作自定义 git 命令?