Недавно я нажал приложение "Угловая CLI 5" в GitHub, и он указал следующее:
We found a potential security vulnerability in one of your dependencies.
A dependency defined in net-incident/package-lock.json has known security vulnerabilities and should be updated.
Dependencies defined in net-incident/package-lock.json 816
hapijs / hoek Known security vulnerability in 2.16.3
Я прошел вывод из "npm audit" и выполнил различные обновления, в том числе следующие (что не предлагалось):
npm install --save-dev [email protected]
"Пакет запросов содержит" ястреб ", который содержит" hoek ". Когда я смотрю на пакет запросов в node_modules, версия изменилась. Но следующие два обновления из "npm audit", похоже, ничего не делают:
npm update fsevents --depth 4 npm update stringstream --depth 5
И я оставляю следующее:
[!] 33 vulnerabilities found [12201 packages audited]
Severity: 5 Low | 24 Moderate | 4 High
Run 'npm audit' for more detail
И многие из уязвимостей выглядят следующим образом:
Moderate Prototype pollution
Package hoek
Patched in > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of karma
Path karma > log4js > loggly > request > hawk > boom > hoek
More info https://nodesecurity.io/advisories/566
В итоге приложение не будет компилироваться, поэтому я заменил пакет и заблокировал файлы, и теперь я вернулся к началу. Я действительно хочу исправить проблемы безопасности. Как мне избавиться от досадных уязвимостей hoek?