正文 

当前位置: 首页 > 问答 >

如何修复 npm 审计报告

     2023-02-21     127

关键词:

【中文标题】如何修复 npm 审计报告【英文标题】:how to fix the npm audit report 【发布时间】:2019-05-03 11:36:04 【问题描述】:

当我运行 npm audit 命令时

=== npm 审计安全报告 === 

`Manual Review 

 Some vulnerabilities require your attention to resolve 

 Visit https://go.npm.me/audit-guide for additional guidance `



High          │ Arbitrary File Overwrite                                     

Package       │ tar                                                          
Patched in    │ >=4.4.2                                                       
Dependency of │ @angular-devkit/build-angular [dev]                           
Path          │ @angular-devkit/build-angular > node-sass > node-gyp >tar 
More info     │ https://nodesecurity.io/advisories/803

上面写着found 1 high severity vulnerability in 42611 scanned packages 1 vulnerability requires manual review。由于它与@angular-devkit/build-angular有关,我担心它是否会在我的项目中产生任何其他问题。

当我运行 npm audit fix 命令时

    npm WARN optional SKIPPING OPTIONAL 
    DEPENDENCY:fsevents@1.2.9 (node_modules/fsevents):
    npm WARN notsup SKIPPING OPTIONAL 
    DEPENDENCY:Unsupported platform for 
    fsevents@1.2.9: wanted "os":"darwin","arch":"any" 
    (current: "os":"linux","arch":"x64")

那么如何在任何具有 linux 操作系统的系统中解决这个问题。让我们考虑忽略上面的 npm 审计修复结果,因为它在某种程度上是一个警告。但是 npm 审计的结果被认为是一个高危漏洞。如何解决这个问题。

Angular CLI 版本

      Angular CLI: 7.3.8
      Node: 10.0.0
      OS: linux x64
      Angular: 7.2.14
      ... animations, common, compiler, compiler-cli, core, forms
      ... language-service, platform-browser, platform-browser-dynamic
      ... router

      Package                           Version
      -----------------------------------------------------------
      @angular-devkit/architect         0.13.8
      @angular-devkit/build-angular     0.13.8
      @angular-devkit/build-optimizer   0.13.8
      @angular-devkit/build-webpack     0.13.8
      @angular-devkit/core              7.3.8
      @angular-devkit/schematics        7.3.8
      @angular/cli                      7.3.8
      @ngtools/webpack                  7.3.8
      @schematics/angular               7.3.8
      @schematics/update                0.13.8
      rxjs                              6.3.3
      typescript                        3.2.4
      webpack                           4.29.0

帮我解决这个问题。谢谢你

【问题讨论】:

npm WARN notsup SKIPPING OPTIONAL DEPENDENCY: Unsupported platform for fsevents@1.0.14的可能重复 不,首先你会看到 npm 审计安全报告。 1 high severity vulnerability 在那里。它与@angular-devkit//build-angular 相关。我为此担心。如果我忽略 npm 审计修复结果,那么我的问题也没有解决。如何解决这个问题。被列为高严重性漏洞。 【参考方案1】:

This vulnerability has been fixed.

删除node_modulespackage-lock.json,然后运行命令:

    npm install npm audit npm audit fix npm audit

Found 0 vulnerabilities会出现,问题已解决。

【讨论】:

在“当我运行 npm 审计命令”部分的第一行说 Manual Review Some vulnerabilities require your attention to resolve 。这些不能直接使用上述命令修复。我已经尝试过了。所以使用这个 npm 审计修复并不能解决我的问题。谢谢 npm audit 显示漏洞,要修复此问题,您需要使用npm audit fix,然后使用npm audit 检查问题是否已修复。 当你看到一些漏洞需要手动关注时,它会给你一个漏洞上面的命令。我会建议一一更新并检查您的应用程序是否仍然正常工作。有时更新可能会破坏您的应用程序,有时您实际上无法自己修复漏洞,因为它们是您正在使用的软件包的依赖项。【参考方案2】:

我想通过这个。 这就是我为修复审计所做的工作。

问题是TAR,它是node-gyp的一个依赖项。

解决方案在这里: https://github.com/sass/node-sass/issues/2625 按照“mohsenari”的建议去做。 它对我有用。

对于不支持的可选 fsevents,这是另一回事,但这只是一个警告,没什么大不了的。

它发生是因为 fsevents 是一个可选依赖项,仅在 项目在 macOS 环境下运行(包提供了“Native 访问 Mac OS-X FSEvents')。

来源: npm WARN notsup SKIPPING OPTIONAL DEPENDENCY: Unsupported platform for fsevents@1.0.14

【讨论】:

您的回答绝对是信息丰富的,但对我没有用。谢谢。

npm 审计修复后如何解决原型污染 lodash 需要人工审核

】npm审计修复后如何解决原型污染lodash需要人工审核【英文标题】:howtosolvePrototypePollutionlodashafternpmauditfixrequiresmanualreview【发布时间】:2019-09-1023:46:57【问题描述】:当我执行npmaudit时,它给了我这个链接,说我必须在我的NODEJS... 查看详情

npm 审计修复与 npm 安装

】npm审计修复与npm安装【英文标题】:npmauditfixvsnpminstall【发布时间】:2021-09-0709:57:14【问题描述】:我不明白npmauditfix的工作原理。来自docs:npmauditfix在后台运行一个成熟的npminstall那么为什么当我运行npminstall并看到审计漏洞时... 查看详情

在 SonarQube 中使用 npm 审计报告

】在SonarQube中使用npm审计报告【英文标题】:usenpmauditreportinSonarQube【发布时间】:2020-01-1511:57:56【问题描述】:我正在开发网络应用程序。我需要检查依赖项的安全性。我实际上是在使用OWASP依赖项检查扫描我的源代码,但我认... 查看详情

当包是最新的时,如何修复具有任意文件覆盖高漏洞的 NPM 包 Tar?

】当包是最新的时,如何修复具有任意文件覆盖高漏洞的NPM包Tar?【英文标题】:HowtofixNPMpackageTar,withhighvulnerabilityaboutArbitraryFileOverwrite,whenpackageisuptodate?【发布时间】:2019-09-0210:12:06【问题描述】:我刚刚从NPM安装了Flickity,并... 查看详情

npm 审计修复:1 个高严重性漏洞:任意文件覆盖

】npm审计修复:1个高严重性漏洞:任意文件覆盖【英文标题】:npmauditfix:1highseverityvulnerability:ArbitraryFileOverwrite【发布时间】:2019-09-0209:38:52【问题描述】:===npmauditsecurityreport===┌─────────────────────... 查看详情

如何修复 NPM 高危漏洞? (污染)

】如何修复NPM高危漏洞?(污染)【英文标题】:HowtofixNPMhighseverityvulnerabilities?(Pollution)【发布时间】:2021-06-3004:13:41【问题描述】:我想安装一些npm包,但总是遇到同样的错误“3个高危漏洞”当我按下npm审计修复时我总是这样... 查看详情

进行 npm 审计修复时不修改 package.json

】进行npm审计修复时不修改package.json【英文标题】:Notmodifypackage.jsonwhendoingnpmauditfix【发布时间】:2019-01-2501:55:21【问题描述】:我已经更新了我的npm版本,我认为npmaudit是一个新功能。当我运行npmauditfix时,我的一些包版本从pac... 查看详情

如何修复这些漏洞? (npm audit fix 无法修复这些漏洞)

】如何修复这些漏洞?(npmauditfix无法修复这些漏洞)【英文标题】:Howtofixthesevulnerabilities?(npmauditfixfailstofixthesevulnerabilities)【发布时间】:2020-02-1520:35:23【问题描述】:我的项目有6个高度严重的漏洞,我不知道如何修复它们。... 查看详情

Npm 漏洞无法修复

】Npm漏洞无法修复【英文标题】:Npmvulnerabilitiescan\'tbefixed【发布时间】:2021-09-0614:44:18【问题描述】:我开始学习react并通过运行创建了我的第一个应用程序:\'npxcreate-react-appmy-app\'构建应用程序后,我在终端中收到一条警告:2... 查看详情

Npm 审计问题

...:51【问题描述】:有人可以解释一下这是什么意思以及我如何解决它。这是我尝试全局运行“npmauditfix”命令时遇到的错误gomer@Gomers-MBP~%npmauditfixnpmERR!codeERESOLVEnpmERR!ERESOLVEunabletoresolvedependencytreenpmERR!npmERR! 查看详情

如何解决 npm audit 返回 ENOAUDIT:您配置的注册表不支持审计请求?

】如何解决npmaudit返回ENOAUDIT:您配置的注册表不支持审计请求?【英文标题】:HowdoIresolvenpmauditreturningENOAUDIT:Yourconfiguredregistrydoesnotsupportauditrequests?【发布时间】:2019-04-3017:26:42【问题描述】:这最近发生了,我不知道除了添加... 查看详情

如何修复 npm 无法全局安装 typescript 错误

】如何修复npm无法全局安装typescript错误【英文标题】:Howtofixnpmfailingtogloballyinstalltypescripterror【发布时间】:2019-05-2012:09:42【问题描述】:尝试使用npm全局安装typescript时sudonpminstall-gtypescript安装失败,出现以下错误:ENOENT:nosuchfi... 查看详情

java代码审计

...进行代码审计可以发现应用程序中的潜在安全漏洞并提出修复建议,以提高应用程序的安全性。代码审计的主要工作包括以下几个方面:静态分析:对源代码进行静态分析,寻找漏洞,包括但不限于输入验证... 查看详情

如何修复节点服务器错误,npm ERR!代码 ELIFECYCLE npm 错误!错误1?

】如何修复节点服务器错误,npmERR!代码ELIFECYCLEnpm错误!错误1?【英文标题】:HowdoIfixanodeservererror,npmERR!codeELIFECYCLEnpmERR!errno1?【发布时间】:2020-09-1806:48:34【问题描述】:npm错误!代码生命周期npm错误!错误号1npm错误!node-exp... 查看详情

如何修复 Vuetify 安装 npm 错误 E404

】如何修复Vuetify安装npm错误E404【英文标题】:HowdoIfixtheVuetifyinstallationnpmerrorE404【发布时间】:2020-07-2413:11:34【问题描述】:请帮我解决这个问题,我不知道如何解决这个问题...我已经卸载并重新安装了Vue、Vue/cli和npm(也将这... 查看详情

如何修复 npm ERR!缺少脚本:从反应开始

】如何修复npmERR!缺少脚本:从反应开始【英文标题】:HowtofixnpmERR!missingscript:startinreact【发布时间】:2020-01-1120:25:17【问题描述】:当我运行npmstart时,我看到了错误。我试过了,但没用:https://techoverflow.net/2019/04/01/how-to-fix-npm... 查看详情

https-proxy-agent 升级到 3.0.0 但 npm 审核仍然显示未修复

】https-proxy-agent升级到3.0.0但npm审核仍然显示未修复【英文标题】:https-proxy-agentupgradedto3.0.0butnpmauditstillshowingnotfixed【发布时间】:2020-02-1613:36:24【问题描述】:截至2019年10月18日,通过为NPM包https-proxy-agent提供修复,即使升级到... 查看详情

npm审计有纱线替代品吗?

】npm审计有纱线替代品吗?【英文标题】:isthereayarnalternativefornpmaudit?【发布时间】:2019-01-1421:03:46【问题描述】:需要yarn的pinnedresolution功能,还想用npmaudit审计?有没有替代npmaudit的纱线?或者,或者,在npm中固定依赖项的依... 查看详情