当我跑步时npm install
它说found 33 vulnerabilities (2 low, 31 moderate)
run `npm audit fix` to fix them, or `npm audit` for details
.
然而,npm audit fix
输出up to date in 11s
fixed 0 of 33 vulnerabilities in 24653 scanned packages
33 vulnerabilities required manual review and could not be updated
是这样吗review
意味着它不应该由用户修复?
当我跑步时npm audit
它给了我表格列表,类似于:
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ browser-sync [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ browser-sync > easy-extender > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577 │
└───────────────┴──────────────────────────────────────────────────────────────┘
在此示例中,链接页面的修复部分显示Update to version 4.17.5 or later.
。然而,在/node_modules/browser-sync/package.json
有几行:
"devDependencies": {
"lodash-cli": "4.17.5",
}
并且不再有 lodash 依赖项。所以应该已经是 v4.17.5 了。我也检查过/node_modules/lodash/lodash.json
其中有var VERSION = '4.17.10';
线。在/node_modules/lodash/package.json
有这些行:
"_from": "lodash@^4.17.4",
"_id": "[email protected] /cdn-cgi/l/email-protection",
我相信“_id”中显示的版本,而不是“_from”中显示的版本,因此版本是正确的,但漏洞仍然出现在审核列表中。
我对 Node.js 还是个新手,这些消息让我很困惑。有什么方法可以手动修复它或删除那些我无能为力的消息吗?