Спасибо! Потребовалось время, чтобы написать комментарий, поэтому не видел отредактированную часть, прежде чем комментировать.
я бегуnpm install
это говоритfound 33 vulnerabilities (2 low, 31 moderate) run `npm audit fix` to fix them, or `npm audit` for details
.
Тем не мение,npm audit fix
выходыup to date in 11s fixed 0 of 33 vulnerabilities in 24653 scanned packages 33 vulnerabilities required manual review and could not be updated
Это делаетreview
значит, это не должно быть исправлено пользователем?
Когда я бегуnpm audit
это дает мне список таблиц, аналогичных┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ browser-sync [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ browser-sync > easy-extender > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘
В этом примере раздел исправления связанной страницы говоритUpdate to version 4.17.5 or later.
, Однако в/node_modules/browser-sync/package.json
Есть строки:
"devDependencies": {
"lodash-cli": "4.17.5",
}
и больше нет зависимости от lodash. Так что это должно быть уже v4.17.5. Я тоже проверил/node_modules/lodash/lodash.json
у которого естьvar VERSION = '4.17.10';
линия. В/node_modules/lodash/package.json
Есть эти строки:
"_from": "lodash@^4.17.4",
"_id": "[email protected]",
Я считаю, что версия указана в «_id», а не в «_from», поэтому версии верны, но уязвимости все еще появляются в списке аудита
Я все еще новичок в node.js, и эти сообщения меня сильно смущают. Есть ли способ исправить это вручную или избавиться от тех сообщений, с которыми я ничего не могу сделать?