如何解决如何手动“npm 审核修复”单个安全问题?
npm audit 报告了许多问题,通过运行 npm audit fix,它确实修复了其中的几个问题。但是,由于某种原因,这样做也会破坏我的构建。我想我知道哪个修复会导致问题,但我仍然想修复其他问题。
当我运行 npm audit fix 时,有没有办法让 npm 执行它所做的任何事情,但仅针对单个问题/依赖项?
我知道我运行 npm i,但这也将更新的依赖项添加到 package.json(即使带有 --package-lock-only 标志),这是我不想要的。我只希望 npm 更新 package-lock.json,就像我运行 npm audit fix 时所做的那样,但只是针对选定的问题子集。
解决方法
您应该能够在这里使用 npm update 来实现您想要的。根据您使用的是 npm 7.x 还是 npm 6.x,要执行的操作略有不同。我使用的是 7.x,所以这就是我在下面展示的内容。
假设 npm audit 产生如下输出:
# npm audit report
minimist <0.2.1 || >=1.0.0 <1.2.3
Prototype Pollution - https://npmjs.com/advisories/1179
fix available via `npm audit fix`
node_modules/extract-zip/node_modules/minimist
mkdirp 0.4.1 - 0.5.1
Depends on vulnerable versions of minimist
node_modules/extract-zip/node_modules/mkdirp
extract-zip <=1.6.7
Depends on vulnerable versions of mkdirp
node_modules/extract-zip
3 low severity vulnerabilities
To address all issues,run:
npm audit fix
这表明我们需要更新 minimist、mkdirp 和 extract-zip。
让我们执行 npm ls 以了解我们正在处理的版本和依赖项。
$ npm ls minimist mkdirp extract-zip
scrape-text@1.0.0 /Users/trott/ucsf-ckm/scrape-text
├─┬ puppeteer@2.1.1
│ └─┬ extract-zip@1.6.7
│ └─┬ mkdirp@0.5.1
│ └── minimist@0.0.8
└─┬ semistandard@14.2.0
├─┬ eslint@6.4.0
│ ├─┬ file-entry-cache@5.0.1
│ │ └─┬ flat-cache@2.0.1
│ │ └─┬ write@1.0.3
│ │ └── mkdirp@0.5.3 deduped
│ └─┬ mkdirp@0.5.3
│ └── minimist@1.2.5 deduped
└─┬ standard-engine@12.0.0
└── minimist@1.2.5
$
因为着色有点重要,这是最后一个的屏幕截图:
让我们看看如果我们运行 npm update minimist 来更新那个包会发生什么。让我们使用 npm ls minimist 查看是否有任何更改。 (您还可以查看您的 package-lock.json 文件是否已更改并进行比较。)
$ npm ls minimist
scrape-text@1.0.0 /Users/trott/ucsf-ckm/scrape-text
├─┬ puppeteer@2.1.1
│ └─┬ extract-zip@1.6.7
│ └─┬ mkdirp@0.5.1
│ └── minimist@0.0.8
└─┬ semistandard@14.2.0
├─┬ eslint@6.4.0
│ └─┬ mkdirp@0.5.3
│ └── minimist@1.2.5 deduped
└─┬ standard-engine@12.0.0
└── minimist@1.2.5
$
不,没有变化。我们仍然拥有与以前相同的版本。好的,让我们尝试下一个 mkdirp。
$ npm update mkdirp
changed 1 package,and audited 244 packages in 1s
3 low severity vulnerabilities
To address all issues,run:
npm audit fix
Run `npm audit` for details.
$
那个 changed 1 package 看起来很有希望。让我们看看它做了什么:
$ npm ls mkdirp
scrape-text@1.0.0 /Users/trott/ucsf-ckm/scrape-text
├─┬ puppeteer@2.1.1
│ └─┬ extract-zip@1.6.7
│ └── mkdirp@0.5.1
└─┬ semistandard@14.2.0
└─┬ eslint@6.4.0
├─┬ file-entry-cache@5.0.1
│ └─┬ flat-cache@2.0.1
│ └─┬ write@1.0.3
│ └── mkdirp@0.5.5 deduped
└── mkdirp@0.5.5
这将 mkdirp 更新为 0.5.5。您可以测试一下,看看是否仍然有效。
如果您现在执行 npm update extract-zip,将导致干净的 npm audit 运行。
希望这能让您了解如何一次更新一个软件包,而无需在此过程中修改 package.json。祝你好运!
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
