La bonne façon de fixer le potentiel de la vulnérabilité de la sécurité dans une dépendance définis dans le paquet-lock.json

Github m'a donné cette erreur sur un de mes dépôts.

We found a potential security vulnerability in one of your dependencies.
A dependency defined in ./package-lock.json has known security vulnerabilities 
and should be updated.

La dépendance n'est pas défini dans notre package.json fichier. À ma connaissance ce n'est pas une bonne pratique consiste à supprimer le package-lock.json fichier et de le régénérer. Cependant, je ne vois aucun autre moyen de corriger ce problème. Si je rejette cette faille de sécurité, il apparaît encore une fois un couple de jours plus tard. Des idées? Merci!

stackoverflow.com/questions/50053991/...
Double Possible de Github vulnérabilité de sécurité potentielle d'erreur pour hoek nœud du module

OriginalL'auteur Kaito | 2018-03-30

  1. 21

    Vous devriez essayer d'identifier la problématique nom du paquet, puis exécutez

    npm install package-name

    remplacement de nom-paquet, évidemment.

    Cela permet d'installer la dernière version du package, et très souvent, la dernière version a corrigé le problème de sécurité. Si vous avez une contrainte sur la version (par exemple: la 1.2), vous pouvez toujours essayer de:

    npm install package-name@^1.2

    et la dernière version corrigée sera installé

    Nouveau: maintenant, avec npm@6 vous pouvez exécuter directement

    npm audit fix
    ...et à "identifier la problématique nom du paquet' vous pouvez exécuter npm ls vulnerability-name. Cela donne la vulnérabilité depedendents, que vous pouvez ensuite mettre à jour/installer. (comme mentionné plutôt mal dans @RileyManda réponse)
    npm vérification corriger proprement résout ce problème pour moi maintenant.
    Il va ajouter package-name dans dependencies de package.json. Je ne veux pas de cela.

    OriginalL'auteur Jo Takion

  2. 6

    Pour résoudre ce problème:

    Solution1:
    Tout d'abord trouver la vulnérabilité:à l'Aide de votre terminal:
    cd dans votre projet, puis exécutez "npm ls hoek"

    Et enfin:
    npm install bcrypt@dernières

    Puis poussez la mise à jour du projet de git.(j'.e effectuer une nouvelle commettre).

    Solution 2:

    si la première option/une solution ne résout pas le problème.Changer la version manuellement dans votre forfait-lock.json.
    Changer votre version manuellement à partir de 2.16.3 à 4.2.1

    "hoek": {
      "version":  "4.2.1",
      "resolved": "https://registry.npmjs.org/hoek/-/hoek-4.2.1.tgz",
      "integrity": "sha1-ILt0A9POo5jpHcRxCo/xuCdKJe0=",
      "dev": true

    Puis mettre à jour votre projet sur GitHub(commit/push)
    Assurez-vous simplement que chaque hoek version occurrence dans votre package-lock.version json est modifié 4.2.1

    Sinon, si vous pouvez trouver un moyen de changer la hoek version/mise à jour hoek à l'aide de la ngp,va rendre les choses beaucoup plus simple.(quelque chose comme : mnp mise à jour @hoek..version)..ou désinstaller le spécifique dépendance, puis le réinstaller à l'aide de la charmille ou mnp.

    OriginalL'auteur RileyManda

  3. 2

    À ma connaissance ce n'est pas une bonne pratique consiste à supprimer le package de verrouillage.fichier json et de la régénérer.

    Pourtant, c'est ce qui est fait habituellement dans cette instance.

    Voir, par exemple,angulaire angulaire-cli question 8534, qui est résolu par PR 8535.

    Qui mène un projet dépendant comme libère-io/freestyle-opscenter-webclient à mise à jour de son package-lock.json: PR 31.

    La régénération de la trousse-lock.json semble ne résout pas le problème
    OK, je vais laisser la réponse, au cas où il ne aider les autres.
    Je suis la réception de l'avertissement pour un paquet de verrouillage dans un ancien commit. Comment diable suis-je pour réparer quelque chose dans l'histoire sans avoir à réécrire?
    Que je ne sais pas: essayer et poser une nouvelle question avec plus de détails (système d'exploitation, la version de la ngp, ...)
    Qui a résolu mon problème. Merci pour l'astuce.

    OriginalL'auteur VonC

  4. 1

    La plus simple/la meilleure façon de résoudre ce problème est:

    1. npm install <dep>
    2. npm uninstall <dep>
    3. npm update
    4. npm install

    À partir de: https://github.com/Microsoft/vscode/issues/48783#issuecomment-384873041

    Le mien est seulement dans les dépendances (package-lock.json) afin de compléter les étapes 1 et 2 est suffisant pour résoudre mon problème. Cheers!

    OriginalL'auteur adrianmc

  5. 0

    des failles de sécurité connues et doivent être mis à jour.

    Depuis le 23 Mai 2019, vous avez maintenant "Dependabot: Automatisée des correctifs de sécurité"

    Grâce à l'intégration de Dependabot, nous avons sorti automatisée des correctifs de sécurité en version bêta publique.

    Automatisée des correctifs de sécurité sont tirez demandes générées par GitHub, pour corriger des failles de sécurité.

    Ils automatiser une tâche fastidieuse partie du flux de travail et de le rendre facile pour les développeurs de garder leurs dépendances à jour.

    Voir plus à "Configuration automatisée des correctifs de sécurité"

    Remarque: Automatique des correctifs de sécurité sont disponibles dans la version bêta et sont soumis à modification.

    Vous pouvez activer automatique des correctifs de sécurité pour un référentiel qui utilise les alertes de sécurité et le graphe de dépendance.

    Nous allons activer automatiquement automatique des correctifs de sécurité dans chaque référentiel qui utilise les alertes de sécurité et le graphe de dépendance au cours des prochains mois, en commençant en Mai 2019.

    OriginalL'auteur VonC