Когда я запускаю npm install
он говорит, что found 33 vulnerabilities (2 low, 31 moderate) run 'npm audit fix' to fix them, or 'npm audit' for details
.
Тем не менее, npm audit fix
up to date in 11s fixed 0 of 33 vulnerabilities in 24653 scanned packages 33 vulnerabilities required manual review and could not be updated
Означает ли этот review
что он не должен быть исправлен пользователем?
Когда я запускаю npm audit
он дает мне список таблиц, подобный этому:
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ browser-sync [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ browser-sync > easy-extender > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577 │
└───────────────┴──────────────────────────────────────────────────────────────┘
В этом примере в разделе исправлений на связанной странице указано " Update to version 4.17.5 or later.
, Однако в /node_modules/browser-sync/package.json
есть строки:
"devDependencies": {
"lodash-cli": "4.17.5",
}
и больше нет зависимости от lodash. Так что это должно быть уже v4.17.5. Я также проверил /node_modules/lodash/lodash.json
который имеет var VERSION = '4.17.10';
линия. В /node_modules/lodash/package.json
есть следующие строки:
"_from": "[email protected]^4.17.4",
"_id": "[email protected]",
Я считаю, что версия указана в "_id", а не в "_from", поэтому версии верны, но уязвимости все еще появляются в списке аудита.
Я все еще новичок в node.js, и эти сообщения меня сильно смущают. Есть ли способ исправить это вручную или избавиться от тех сообщений, с которыми я ничего не могу сделать?