La bonne façon de fixer le potentiel de la vulnérabilité de la sécurité dans une dépendance définis dans le paquet-lock.json
Github m'a donné cette erreur sur un de mes dépôts.
We found a potential security vulnerability in one of your dependencies.
A dependency defined in ./package-lock.json has known security vulnerabilities
and should be updated.
La dépendance n'est pas défini dans notre package.json
fichier. À ma connaissance ce n'est pas une bonne pratique consiste à supprimer le package-lock.json
fichier et de le régénérer. Cependant, je ne vois aucun autre moyen de corriger ce problème. Si je rejette cette faille de sécurité, il apparaît encore une fois un couple de jours plus tard. Des idées? Merci!
stackoverflow.com/questions/50053991/...
Double Possible de Github vulnérabilité de sécurité potentielle d'erreur pour hoek nœud du module
Double Possible de Github vulnérabilité de sécurité potentielle d'erreur pour hoek nœud du module
OriginalL'auteur Kaito | 2018-03-30
Vous devez vous connecter pour publier un commentaire.
Vous devriez essayer d'identifier la problématique nom du paquet, puis exécutez
remplacement de nom-paquet, évidemment.
Cela permet d'installer la dernière version du package, et très souvent, la dernière version a corrigé le problème de sécurité. Si vous avez une contrainte sur la version (par exemple: la 1.2), vous pouvez toujours essayer de:
et la dernière version corrigée sera installé
Nouveau: maintenant, avec npm@6 vous pouvez exécuter directement
npm ls vulnerability-name
. Cela donne la vulnérabilité depedendents, que vous pouvez ensuite mettre à jour/installer. (comme mentionné plutôt mal dans @RileyManda réponse)npm vérification corriger proprement résout ce problème pour moi maintenant.
Il va ajouter
package-name
dansdependencies
depackage.json
. Je ne veux pas de cela.OriginalL'auteur Jo Takion
Pour résoudre ce problème:
Solution1:
Tout d'abord trouver la vulnérabilité:à l'Aide de votre terminal:
cd dans votre projet, puis exécutez "npm ls hoek"
Et enfin:
npm install bcrypt@dernières
Puis poussez la mise à jour du projet de git.(j'.e effectuer une nouvelle commettre).
Solution 2:
si la première option/une solution ne résout pas le problème.Changer la version manuellement dans votre forfait-lock.json.
Changer votre version manuellement à partir de 2.16.3 à 4.2.1
Puis mettre à jour votre projet sur GitHub(commit/push)
Assurez-vous simplement que chaque hoek version occurrence dans votre package-lock.version json est modifié 4.2.1
Sinon, si vous pouvez trouver un moyen de changer la hoek version/mise à jour hoek à l'aide de la ngp,va rendre les choses beaucoup plus simple.(quelque chose comme : mnp mise à jour @hoek..version)..ou désinstaller le spécifique dépendance, puis le réinstaller à l'aide de la charmille ou mnp.
OriginalL'auteur RileyManda
Pourtant, c'est ce qui est fait habituellement dans cette instance.
Voir, par exemple,angulaire angulaire-cli question 8534, qui est résolu par PR 8535.
Qui mène un projet dépendant comme
libère-io/freestyle-opscenter-webclient
à mise à jour de sonpackage-lock.json
: PR 31.OK, je vais laisser la réponse, au cas où il ne aider les autres.
Je suis la réception de l'avertissement pour un paquet de verrouillage dans un ancien commit. Comment diable suis-je pour réparer quelque chose dans l'histoire sans avoir à réécrire?
Que je ne sais pas: essayer et poser une nouvelle question avec plus de détails (système d'exploitation, la version de la ngp, ...)
Qui a résolu mon problème. Merci pour l'astuce.
OriginalL'auteur VonC
La plus simple/la meilleure façon de résoudre ce problème est:
npm install <dep>
npm uninstall <dep>
npm update
npm install
À partir de: https://github.com/Microsoft/vscode/issues/48783#issuecomment-384873041
OriginalL'auteur adrianmc
Depuis le 23 Mai 2019, vous avez maintenant "Dependabot: Automatisée des correctifs de sécurité"
Voir plus à "Configuration automatisée des correctifs de sécurité"
OriginalL'auteur VonC