如何手动修复npm漏洞？

当我跑步时npm install它说found 33 vulnerabilities (2 low, 31 moderate) run `npm audit fix` to fix them, or `npm audit` for details.

然而，npm audit fix输出up to date in 11s fixed 0 of 33 vulnerabilities in 24653 scanned packages 33 vulnerabilities required manual review and could not be updated

是这样吗review意味着它不应该由用户修复？

当我跑步时npm audit它给了我表格列表，类似于：

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ browser-sync [dev]                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ browser-sync > easy-extender > lodash                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

在此示例中，链接页面的修复部分显示Update to version 4.17.5 or later.。然而，在/node_modules/browser-sync/package.json有几行：

"devDependencies": {
    "lodash-cli": "4.17.5",
}

并且不再有 lodash 依赖项。所以应该已经是 v4.17.5 了。我也检查过/node_modules/lodash/lodash.json其中有var VERSION = '4.17.10';线。在/node_modules/lodash/package.json有这些行：

  "_from": "lodash@^4.17.4",
  "_id": "[email protected] /cdn-cgi/l/email-protection",

我相信“_id”中显示的版本，而不是“_from”中显示的版本，因此版本是正确的，但漏洞仍然出现在审核列表中。

我对 Node.js 还是个新手，这些消息让我很困惑。有什么方法可以手动修复它或删除那些我无能为力的消息吗？

lodash-cli in devDependencies不影响如何browser-sync在你的项目中工作，devDependencies当包作为依赖项安装时将被忽略。

What audit报告说这是easy-extender具有lodash依赖性：

browser-sync > easy-extender > lodash        

It 取决于 Lodash 3 https://github.com/shakyShane/easy-extender/blob/master/package.json#L32，而该问题在 Lodash 4 中已得到解决。该问题可以通过分叉来解决easy-extender，更新并安装它，而不是从 NPM 公共注册表安装包。但这种依赖性并没有真正的问题。

audit报告重要性应手动评估。即使嵌套依赖项存在安全风险，这并不意味着使用了引入此风险的功能。这也不意味着即使使用它，也会因其使用方式而带来真正的风险。

browser-sync是未在生产中使用的开发工具，因此其漏洞可被利用的场景并不多。和原型污染根本不是一个漏洞，只是一个软件包不遵循良好实践的通知，可以忽略。

一般来说，修复报告的漏洞的方法如下：

• 进行健全性检查
• 如果确实存在问题，请检查易受攻击的包的存储库中是否存在问题and PRs
• 如果没有，请提交问题
• 分叉存储库或使用现有 PR 作为git 依赖 https://docs.npmjs.com/cli/install直到它在 NPM 版本中修复
• 如果存在嵌套依赖关系，请在多个嵌套级别执行此操作

大多数时候，我们预计您不会超越健全性检查，唯一的问题是“漏洞”使审计报告变得混乱并隐藏了真正的漏洞。

patch-package https://github.com/ds300/patch-package可以帮助就地修补嵌套依赖项，但这不会影响报告。

可以在 Yarn 1 和 2 的嵌套依赖项中强制使用特定的依赖项版本resolutions field https://classic.yarnpkg.com/lang/en/docs/selective-version-resolutions/，这会影响审计报告。也许可以这样做原生于 NPM https://stackoverflow.com/questions/52416312/npm-equivalent-of-yarn-resolutions在未来。目前 NPM 中的替代方案是第三方npm-force-resolutions https://github.com/rogeriochaves/npm-force-resolutions提供较少控制的实用程序，目前它强制解决所有依赖项，而不是特定依赖项 https://github.com/rogeriochaves/npm-force-resolutions/issues/32.

请注意，通过强制依赖项使用其设计不适合使用的嵌套依赖项，它可能随时被破坏。这尤其适用于npm-force-resolutions，这是一个生硬的工具，可以同时影响许多嵌套的依赖项。