wake-up-neo.com

Es wurden 4 Sicherheitslücken in npm install gefunden

Ich fange gerade erst mit Reactor-Native an. Bei der Installation dieses Pakets

npm install --save react-native-validator-form https://github.com/NewOldMax/react-native-validator-form/issues/3

Ich wurde zu npm audit aufgefordert und mir wurden 4 Schwachstellen gezeigt (oben aufgelistet).

Nachdem ich die 2 Hilfsbefehle ausgeführt hatte, wurden zwei weitere Schwachstellen angezeigt (siehe Link).

Wie kann ich die verbleibenden Probleme beheben? 

Das Aktualisieren der entsprechenden npm-Pakete hat nicht funktioniert.

Nicht sicher, wie es weitergeht. Hoffe, jemand kann mir helfen. Vielen Dank.

13
Dazzle

Wenn Sie npm audit ausgeführt haben und Schwachstellen erhalten haben, können Sie verschiedene Szenarien haben:

Bei vorgeschlagenen Updates wurden Sicherheitslücken gefunden

  • Führen Sie den Unterbefehl npm audit fix aus, um kompatible Updates für anfällige Abhängigkeiten automatisch zu installieren.

  • Führen Sie die empfohlenen Befehle einzeln aus, um Updates für anfällige Abhängigkeiten zu installieren. (Einige Aktualisierungen sind möglicherweise halbwegs brechen; weitere Informationen finden Sie unter "SEMVER-Warnungen".)

Sicherheitslücken gefunden, die manuell überprüft werden müssen

  • Wenn Sicherheitslücken gefunden werden, aber keine Patches verfügbar sind, enthält der Überwachungsbericht Informationen über die Lücke, sodass Sie weitere Untersuchungen durchführen können.

Quelle: Überprüfung und Durchführung des Sicherheitsüberprüfungsberichts

6

Dies ist ein Ergebnis der neuen npm-Version einschließlich des Prüfbefehls.

Es ist kein neues Problem mit der Angular-CLI. Npm hat in npm nur neue Funktionen eingeführt, um Benutzer über Schwachstellen in den von ihnen installierten Paketen zu warnen. Daher gibt es in Angular keine "neuen" Schwachstellen, nur dass jetzt npm warnt Sie über bereits bestehende Schwachstellen:

https://blog.npmjs.org/

Die meisten Probleme stammen von Karma. Daher müsste das Angular-Team dort eine neue Karma-Version von Karma-Runner/Karma # 2994 erstellen

Auch nach dem Ausführen von npm audit fix Wenn es nicht behoben ist, sollten Sie, um fortzufahren, npm audit ausschalten . Verwenden Sie den folgenden Befehl, um npm audit zu deaktivieren.

bei der Installation eines einzelnen Pakets.

npm install example-package-name --no-audit`

So deaktivieren Sie die npm-Prüfung bei der Installation aller Pakete

npm set audit false

dadurch wird die Überwachungseinstellung in Ihren Benutzer- und globalen npmrc-Konfigurationsdateien auf false gesetzt.

als Referenz besuchen Sie: Ausschalten-Npm-Audit

Hoffe, es wird helfen und Sie können mit Ihrer Arbeit fortfahren :) Happy Codding

1

Beim Ausführen dieses Befehls hatte ich das gleiche Problem:

npm install ngx-bootstrap --save

... und löste es durch Ausführen der Eingabeaufforderung als Administrator.

Also Öffnen Sie die Eingabeaufforderung als Administrator und versuchen Sie es erneut. Hoffentlich klappt es.

0

Ich hatte das gleiche Problem und das Protokoll war wie folgt:

Testing binary
Binary is fine
added 1166 packages from 1172 contributors and audited 39128 packages in 112.505s
found 1 high severity vulnerability

Ich führte den folgenden Befehl aus und es wurde behoben.

npm audit fix

protokoll zeigt wie folgt:

Testing binary
Binary is fine
+ @angular-devkit/[email protected]
added 18 packages from 47 contributors, removed 14 packages and updated 52 packages in 64.529s
fixed 1 of 1 vulnerability in 39128 scanned packages
0
Dilanka M