как устранить уязвимости средней степени серьезности в vs for npm install

Question

как устранить уязвимости средней степени серьезности в vs for npm install

=== Отчет о безопасности аудита npm ===

                                   Manual Review                                  
         Some vulnerabilities require your attention to resolve             
                                                                            
      Visit https://go.npm.me/audit-guide for additional guidance

Умеренная неэффективная сложность регулярных выражений в nth-check

Пакет nth-check

Исправлено в >=2.0.1

Зависимость реактивных скриптов

Реакция-скрипты пути > @svgr/webpack > @svgr/plugin-svgo > svgo >
css-select > nth-check

Дополнительная информация https://github.com/advisories/GHSA-rp65-9cf3-cjxr

Умеренный отказ в обслуживании регулярных выражений в postcss

Пакет postcss

Исправлено в >=8.2.13
Зависимость реактивных скриптов

Реакция-скрипты пути> загрузчик разрешения-url> postcss

Дополнительная информация https://github.com/advisories/GHSA-566m-qj78-rww5

обнаружено 2 уязвимости средней степени серьезности в 1398 просканированных пакетах. 2 уязвимости требуют проверки вручную. Подробности смотрите в полном отчете.

1

reactjs visual-studio npm-vulnerabilities

Источник

user17111947 18 янв '22 в 07:09

1 ответ

Другие вопросы по тегам reactjs visual-studio npm-vulnerabilities

user16689682 06 апр '22 в 17:59 2022-04-06 17:59 · Answer 1 · 2022-04-06 17:59

Хорошо, в принципе, это очень просто :)

что касается меня, то у меня есть только одна умеренная уязвимость. Но решение должно работать для них обоих!

Я собираюсь объяснить как можно яснее проблему с n-й проверкой.

все эти проблемы возникают из-за пакетов, которые могут иметь потенциальную проблему, которая, как я предполагаю, может варьироваться в зависимости от пакета. Если вы хотите развлечься, вот пакет nth-check на npm

https://www.npmjs.com/package/nth-check

Если вы посмотрите на ссылку выше, вы увидите, что... сюрприз, текущая версия 2.0.1. И это очень здорово, потому что сообщение об ошибке, которое вы получаете, говорит о том, что проблема, исходящая от этого пакета, была исправлена в той же самой версии.

Итак, я бы лично рекомендовал сначала использовать пряжу. Но у каждого свои предпочтения! для этого можно ввести

      npm install --global yarn

после этого вы можете удалить файл блокировки пакета и, конечно же, запустить следующую команду в папке вашего приложения

(такой сюрприз.) Это создаст файл yarn.lock . Обратите внимание, что вам следует избегать одновременного использования пряжи и npm!

В том самом файле yarn.lock вам придется искать строку n-й проверки! В совершенно новом приложении для реагирования (пока что) вы должны найти 8 вхождений этой строки. Эта строка будет установлена рядом с версией пакета. Это то, что вы хотите изменить.

В моем случае, например,

      nth-check@^1.0.2: //so far. This version can be different for an older projet.
  version "1.0.2"
  resolved "https://registry.npmjs.org/nth-check/-/nth-check-1.0.2.tgz"

Вы хотите изменить все эти неправильные версии. Это должно выглядеть так:

      nth-check@^2.0.1:
  version "2.0.1"
  resolved "https://registry.npmjs.org/nth-check/-/nth-check-2.0.1.tgz"

Если вы сохраните файл, запустите простой

      yarn

команда, за которой следует

      yarn audit

Это ДОЛЖНО решить одну из ваших проблем!

Для второго я бы сделал то же самое. Но я бы также искал более конкретную строку. что- то вроде « [email protected] », чтобы помочь вам сузить ваши возможности!

Надеюсь, это было полезно. Ваше здоровье!