Comment puis-je corriger une vulnérabilité mnp paquet dans mon package-lock.json qui n'est pas répertorié dans le package.json?
Github est de me dire qu'une dépendance dans mon package-lock.fichier json est vulnérable et obsolètes. Le problème est que si je ne npm install
ou npm update
, ni de leur mise à jour de la dépendance dans le paquet-lock.fichier json.
J'ai fait beaucoup de recherches sur google sur ce, ainsi que supprimé le fichier et fait npm install
.
Si quelqu'un peut aider à résoudre ce que je serais très apprécier. Le paquet en question est Hoek, dont je n'ai pas réellement dans mon colis.fichier json.
Merci beaucoup à l'avance.
- essayez de supprimer vous-paquet de verrouillage.json et d'exécuter des mnp installer de nouveau
- Vous pouvez le vérifier vos dépendances à trouver celui qui dépend de hoek et mise à jour de celui-là. (Mais Vous pouvez aussi être hors de la chance et que la dépendance n'a pas de version plus récente.)
- Je dirais la même chose de @RishikeshDhokare
- J'ai fait comme @RishikeshDhokare dit. Problème résolu pour moi
Vous devez vous connecter pour publier un commentaire.
Cela ressemble à Hoek est une dépendance de l'un de vos dépendances (donc, un paquet que vous avez dans votre colis.json est exigeant de son propre paquet.json).
Vous avez déjà essayé de supprimer/réinstaller et mettre à jour vos dépendances du projet, sans succès, de sorte qu'il semble que les dépendances du paquet en question est explicite ou max version spécifiée.
Sans voir le paquet.json pour chacun de vos dépendances, il serait difficile de donner des conseils plus sur la façon de forcer une mise à jour.
Edit:
Pour vous aider à identifier les paquets à l'aide de laquelle les dépendances, vous pouvez utiliser des MNP
ls
commande: https://docs.npmjs.com/cli/lsPar exemple, pour voir les paquets à l'aide de Hoek:
npm ls hoek
Edit 2:
Comme Ulysse BN correctement, si vous avez des MNP version 6 ou version ultérieure, vous pouvez utiliser
npm audit fix
demander NPM pour tenter de corriger les failles pour vous.Edit 3:
Ceux de la lecture de ce devrait également vérifier JBallin la réponse ci-dessous. Il s'étend sur les informations que j'ai donné ici, et qui est (à mon avis) plus structurées réponse qui s'adresse OP question mieux. Toutefois - si vous voulez une solution rapide - cette réponse devrait suffire.
package.json
qui dépend de la spécificité (vulnérable) version de Grogner. Votre réponse est sur la bonne voie et vous pourriez peut-ongles si vous pouviez partager l'aide de la commande show package(s) danspackage.json
qui dépendent de l'vulnérable montrant danspackage-lock.json
.TLDR: mise à Jour le package parent à l'aide de
npm i $PARENT_PKG_NAME
.Diagnostic
npm audit
va révéler à la fois les plus vulnérables paquet (notez que vous aurez besoin d'un paquet de verrouillage.fichier json pour cela, vous aurez besoin pour exécuternpm i
), ainsi que le package que c'est une dépendance de (le cas échéant). (Notez que vous pouvez également utilisernpm ls $CHILD_PKG_NAME
de voir son parent dépendances.Quick Fix Tentative
npm audit fix
etnpm audit fix --force
sont la peine d'essayer, mais parfois, la correction devra être fait manuellement (voir ci-dessous).Manuel De Fixer
Probablement le package parent ont déjà fixé leurs dépendances (vous pouvez le vérifier en allant sur leur GitHub et l'examen de la récente s'engage--ou juste de voir si cela résout-il), de sorte que vous pouvez simplement exécuter
npm i $PARENT_PKG_NAME
et il mettra à jour votre paquet-lock.json.Vérifier Fixer
Vous pouvez maintenant vérifier qu'il fonctionne en exécutant
npm audit
et s'assurer qu'aucune des vulnérabilités sont en train d'apparaître. Valider vos modifications, les pousser à GitHub, actualiser vos notifications/alertes et ils devraient avoir disparu!Si vous avez des mnp@6 ou version ultérieure, vous pouvez utiliser
npm vérification fix
pour vos problèmes de sécurité.Utilisation:
npm va installer la dernière version de hoek et de votre package.verrouillage.json devenir mis à jour.
J'ai eu ce problème et trouvé que c'était parce que le serveur sur lequel j'étais en train de mnp avait une vieille version de la ngp sur elle - package-lock.json est uniquement pris en charge par les versions plus récentes.
avez-vous essayé ceci: allez à la racine de votre projet, de supprimer la
package-lock.json
fichier,node_modules
et.cache
dossiers, puisnpm install
.Après l'installation de nouvelles dépendances exécutez la commande suivante pour mettre à jour le paquet-lock.fichier json: