Исправление аудита npm, не устраняющее низкую уязвимость

Я использую nightmare для тестирования. После запуска аудита npm я получаю предупреждение о загрязнении прототипа lodash. Я попытался это исправить, запустив npm audit fix но безрезультатно. После этого я попытался использовать --force но все равно получаю

fixed 0 of 1 vulnerability in 2108 scanned packages
  1 vulnerability required manual review and could not be updated

Любые идеи, как я могу это исправить?

Вот скриншот: введите описание изображения здесь

Источник

0 ответов

npm зависимости не обновляются автоматически до более старшей версии. Так что если пакет A зависит от пакета B со спецификацией версии, такой как:

// A/package.js
dependencies: {
  "B": "^2.1.3"
}

затем npm будет держать B в актуальном состоянии для любой версии 2.xy, где x >= 1 и (y >= 3, если x == 1 или y >= 0, если x > 1).

Однако, если исправление безопасности произошло в B версии 3.vw, тогда проблема безопасности останется в вашем npm репозиторий.

Проблема здесь в том, что для использования версии 3.vw вам, возможно, придется обновить A потому что вполне вероятно, что между 2 и 3 произошли критические изменения (т. е. изменилось имя функции или была удалена поддержка определенного свойства).

Вот пример прерывания изменений в модуле response-idle-timer:

Миграция с v3 на v4

В версии 4 есть несколько серьезных изменений:

  • Несмотря на то, что по-прежнему способен воспроизводить детей, с версии 4 мы не передаем детей IdleTimer, Если вы не очень хорошо с shouldComponentUpdate вам следует избегать использования IdleTimer в качестве компонента оболочки.
  • Недвижимость startOnLoad был переименован в startOnMount чтобы иметь больше смысла в контексте React.
  • Недвижимость activeAction был переименован в onActive,
  • Недвижимость idleAction был переименован в onIdle,
Источник
Другие вопросы по тегам