https-proxy-agent обновлен до 3.0.0, но аудит npm по-прежнему показывает, что не исправлено

По состоянию на 18 октября 2019 г. с исправлением, предоставленным для пакета NPM https-proxy-agent, даже после обновления до последней версии предупреждение аудита по-прежнему отображается как 6 уязвимостей с высоким уровнем уязвимости.

Запуск исправления аудита npm не устраняет и не удаляет предупреждения, как и исправление аудита npm --force (что не рекомендуется). Предупреждение показывает неважно.

Он по-прежнему показывает следующие затронутые зависимости:

│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit for additional guidance          │
│ High          │ Machine-In-The-Middle                                        │
│ Package       │ https-proxy-agent                                            │
│ Patched in    │ >=3.0.0                                                      │
│ Dependency of │ @angular/cli [dev]                                           │
│ Path          │ @angular/cli > @schematics/update > pacote >                 │
│               │ make-fetch-happen > https-proxy-agent                        │
│ More info     │                            │
│ High          │ Machine-In-The-Middle                                        │
│ Package       │ https-proxy-agent                                            │
│ Patched in    │ >=3.0.0                                                      │
│ Dependency of │ @angular/cli [dev]                                           │
│ Path          │ @angular/cli > pacote > make-fetch-happen >                  │
│               │ https-proxy-agent                                            │
│ More info     │                            │
│ High          │ Machine-In-The-Middle                                        │
│ Package       │ https-proxy-agent                                            │
│ Patched in    │ >=3.0.0                                                      │
│ Dependency of │ @angular/cli [dev]                                           │
│ Path          │ @angular/cli > @schematics/update > pacote >                 │
│               │ npm-registry-fetch > make-fetch-happen > https-proxy-agent   │
│ More info     │                            │
│ High          │ Machine-In-The-Middle                                        │
│ Package       │ https-proxy-agent                                            │
│ Patched in    │ >=3.0.0                                                      │
│ Dependency of │ @angular/cli [dev]                                           │
│ Path          │ @angular/cli > pacote > npm-registry-fetch >                 │
│               │ make-fetch-happen > https-proxy-agent                        │
│ More info     │                            │
│ High          │ Machine-In-The-Middle                                        │
│ Package       │ https-proxy-agent                                            │
│ Patched in    │ >=3.0.0                                                      │
│ Dependency of │ protractor [dev]                                             │
│ Path          │ protractor > browserstack > https-proxy-agent                │
│ More info     │                            │
│ High          │ Machine-In-The-Middle                                        │
│ Package       │ https-proxy-agent                                            │
│ Patched in    │ >=3.0.0                                                      │
│ Dependency of │ protractor [dev]                                             │
│ Path          │ protractor > saucelabs > https-proxy-agent                   │
│ More info     │                            │
found 6 high severity vulnerabilities in 17441 scanned packages
 6 vulnerabilities require manual review. See the full report for details.

Что мне нужно обновить (npm install some-package@latest --save), чтобы избавиться от этих предупреждений?

1 ответ


Тоже самое.

Нашел соответствующую открытую проблему на angular github:

В этой проблеме временное решение описано Джошем Стаббеком:

Я выполнил пошаговые инструкции и получил чистый результат аудита:

=== npm audit security report === 
found 0 vulnerabilities
in 18853 scanned packages

Большое спасибо @ Josh Stabback за документирование обходного пути.

Другие вопросы по тегам