Npm依赖审计错误与更新的云-s4-sdk-管道,除了最新的依赖版本
Npm依赖审计错误与更新的云-s4-sdk-管道,除了最新的依赖版本
提问于 2019-07-03 05:35:10
我们切换到了最新版本(21)的云-S4-SDK-管道。新特性可以工作,但是除了最新的依赖版本之外,我们还可以得到npm相关性审计错误。
调查结果摘要
• High Arbitrary File Overwrite vulnerability found in dependency "tar", see https://npmjs.com/advisories/803 for details.
• High Code Injection vulnerability found in dependency "js-yaml", see https://npmjs.com/advisories/813 for details.
• Moderate Regular Expression Denial of Service vulnerability found in dependency "mime", see https://npmjs.com/advisories/535 for details.
• Moderate Regular Expression Denial of Service vulnerability found in dependency "underscore.string", see https://npmjs.com/advisories/745 for details.
• Moderate Prototype Pollution vulnerability found in dependency "lodash", see https://npmjs.com/advisories/782 for details.
• Moderate Denial of Service vulnerability found in dependency "js-yaml", see https://npmjs.com/advisories/788 for details.你也有类似的问题吗?有可用的解决方案吗?
回答 1
Stack Overflow用户
发布于 2019-07-03 07:05:46
从v20到v21的主要变化之一是,我们现在正在审核我们可以在项目中找到的所有package.json文件( whitesource扫描也是一样)。
我假设在您的项目中是这样的,因此会弹出新的审计结果。
我建议您在本地执行npm audit --fix,并在您的package.json目录中提交得到的包-lock.json。如果这也不能解决您的问题,最后的解决方案将是将那些npm审计问题标记为pipeline_config.yaml中的“已审计”,如所描述的这里。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/56863507
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号