vue.js - 如何修复 vue-cli-service 漏洞？

问题描述

我刚刚尝试使用@vue/cli 4.3.1全新安装的 Ubuntu 19.10 创建一个新项目，npm 6.14.4. 当我cd进入项目并运行npm install时，我得到以下信息：

found 1 high severity vulnerability
  run `npm audit fix` to fix them, or `npm audit` for details

运行npm audit fix产生

fixed 0 of 1 vulnerability in 1285 scanned packages
  1 vulnerability required manual review and could not be updated

跑步后npm audit，我得到

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ http-proxy                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @vue/cli-service [dev]                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @vue/cli-service > webpack-dev-server >                      │
│               │ http-proxy-middleware > http-proxy                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1486                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

这是预期的吗？普通的？可以修复吗？让我担心的是，在没有安装任何恶意软件的干净环境中会发生这种情况，但我也不是 npm 专家……我应该在这里做什么？

标签： vue.jssecuritynpmvue-cli

我正在建立一个新的 Vue 项目并遇到了同样的问题。我在 Github Vue/Vue-cli 上找到了一篇文章，他们解决了这个问题：

https://github.com/vuejs/vue-cli/issues/5489#issuecomment-629326414

那篇文章说他们正在跟踪这个问题，但作为说明：

注意：由于它只用于本地开发服务器，它不是 Vue CLI 项目的实际安全漏洞。如果 @vue/cli-service 是您项目中此依赖项的唯一来源，请随意忽略它。

所以，我已经继续并暂时忽略了它。我希望当他们更新 NPM 包时，它将使用更新的 http-proxy 来解决这个问题。

根据跟踪器本身，它说它已在 http-proxy 版本 1.18.1 中修复。

vue.js - 如何修复 vue-cli-service 漏洞？

问题描述

解决方案

推荐阅读