НПМ Аудит исправления
После запуска npm audit У меня есть (это только одно из) умеренное предупреждение
Moderate │ Prototype pollution
Package │ hoek
Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of │ karma
Path | karma > log4js > loggly > request > hawk > sntp > hoek
я могу увидеть это hoek это зависимость кармы (далее по цепочке). Глядя на репозиторий Karma на GitHub, я вижу, что это было поднято, но не было немедленного исправления.
Это то, что мы должны сейчас принять, пока они не обновят свои зависимости, или мы можем сказать нашему приложению использовать более свежую версию hoek и распространяется на все пакеты?
2 ответа
Проблема в том, что loggly давно не обновляется и жестко request версия, которая использует hoek версия с указанной уязвимостью. Есть открытый вопрос.
Учитывая роль hoek Пакет здесь, вряд ли это вызывает реальную проблему безопасности.
С точки зрения пользователя, можно исправить проблему безопасности, используя ветку, в которой эта зависимость исправлена, например, этот запрос извлечения:
"karma": "^2.0.2",
"loggly": "github:winstonjs/node-loggly#pull/79/head"
поскольку loggly версия ветки соответствует ограничениям в log4jsэто заменяет оригинал loggly с фиксированным (возможно, требует очистки node_modules вступить в силу).
Это вызывает
400 неверных запросов - POST https://registry.npmjs.org/-/npm/v1/security/audits
ошибка для npm auditтак что, скорее всего, следует оставить как есть на данный момент.
Вы можете npm установить фиксированную версию зависимости из запроса на выборку или фиксации. Например
npm install github:winstonjs/node-loggly#pull/79/head
Затем удалите добавленную строку в package.json, например "loggly": "github:winstonjs/node-loggly#pull/79/head"
В package-lock.json ищите loggly и где он показывает "version": "<some git url>"удалите URL и замените его соответствующим номером версии, например, "1.1.1".