NPM-AUDIT yüksek güvenlik açıklarına sahiptir. Ne yapmam gerekiyor?

13

npm audit projeme devam et ve bana bunu ver

@ Angular-devkit / build-angular [dev] 'nin Yüksek Komut Enjeksiyon Bağımlılığı

Yol @ angular-devkit / build-angular> @ ngtools / webpack> ağaç öldür

Daha fazla bilgi https://npmjs.com/advisories/1432

Yüksek Komuta Enjeksiyonu

Paket ağaç öldürme

Yamalı> = 1.2.2

@ Angular-devkit / build-angular [dev] bağımlılığı

Yol @ angular-devkit / build-angular> ağaç öldür

Daha fazla bilgi https://npmjs.com/advisories/1432

Ağaç öldürmenin güncellenmesi gerekiyor, ama benim değil açısal bir dep. Ne olmuş yani? Bu açısal ekibin kendi paketini güncellemesini beklemeniz mi gerekiyor?

— Nemus
kaynak

11

Paketin yeni bir sürümünü beklemeden bunu düzeltebilirsiniz @angular-devkit/build-angular.

Sadece aşağıdaki adımları uygulayın:

Uygun paket sürümüne bölüm package.jsonekleyerek dosyanızı güncelleyin :resolutionstree-kill

"resolutions": {
  "tree-kill": "1.2.2"
}

package-lock.jsonKomutunu çalıştırarak güncelleyin :

npx npm-force-resolutions

NPM paketlerini projenize yeniden yükleyin:

rm -r node_modules
npm install

npm auditProjenizin artık bu sorunu olmadığını kontrol etmek için çalıştırın . Ve değiştirilmiş dosyaları işlemek için unutmayın package.jsonve package-lock.json.

NPM Kuvvet Kararları hakkında daha fazla bilgi .

— Yuri Beliakov
kaynak

11

Bugün aynı sorunu yaşıyordum ve şu şekilde çözdüm:

tree-kill paketini node_modules klasöründen silin.
package-lock.json dosyasını silin.
node_modules klasöründeki @ angular-devkit / build-angular klasörüne gidin ve package.json dosyasını düzenleyin; tree-kill sürümünü 1.2.1'den 1.2.2'ye değiştir
node_modules klasöründeki @ ngtools / webpack klasörüne gidin ve 3. adımla aynı işlemi yapın.

bundan sonra npm install komutunu çalıştırın.

— saleem
kaynak

1

Yani bu düzeltme ile, Git ile node_modules klasörünü doğru tutmalıyım?

— Loki

Sorunuzun doğru olup olmadığından emin değilim, ancak yeni kurulumdan sonra yeni değişiklikleri yapmanız gerekiyor.

— saleem

1

elle düzenlemek bağımlılık iyi bir fikir değil, çünkü projenin yeni bir kurulum yapmak sorunu temsil edecek

— Nemus

2

Ben de bu problemi yaşadım ve bazı araştırmalardan sonra bir şey buldum:

NPM "denetim düzeltmesine" hata veriyor - Yapılandırılmış kayıt defteri desteklenmiyor

Tabii ki, bu başka bir sorunla ilgili, ama orada verilen çözümü uyarlayarak sorunumu çözdü.

Yani :

Tree-kill'in node_modules klasörünü silin
Package-lock.json dosyasını yapıldığı gibi düzenleyin ancak bunun yerine tree-kill modülü ile düzenleyin.
Çalıştırmayı unutmayın yüklemek npm sonunda

Umarım yeterince netimdir.

— archelite
kaynak

1. adımdaki tree-kill düğümü node_modules klasörü silinirken silinmesi gerekiyorsa, ikinci adımdaki package-lock.json dosyasını nasıl düzenleyebilirim?

— Mauricio Martinez

2

Bir düzeltmenin çalışıp çalışmadığını görmek için GitHub deposunu kontrol edin. Bu sorunu buldum: bağımlılığı ortadan kaldıran https://github.com/angular/angular-cli/issues/16629 ve bir çekme isteği ( https://github.com/angular/angular-cli/pull/15894 ).

— Peter G
kaynak

0

Tree-kill paketini node_modules klasöründen kaldırın
ve package-lock.json dosyasını silin .
Node_modules klasöründe @ angular-devkit / build-angular klasörünü bulun ve package.json dosyasını düzenleyin; tree-kill sürümünü 1.2.1'den 1.2.2'ye
değiştirin node_modules klasöründe @ ngtools / webpack'i bulun ve package.json dosyasını düzenleyin; tree-kill sürümünü 1.2.1'den 1.2.2'ye değiştir
npm kurulumunu çalıştırın.

— sam0606
kaynak

0

Package.json dosyasına aşağıdaki kodu ekleyin

"resolutions": {
"tree-kill":"1.2.2"
}

Tüm düğüm modüllerini kaldırın:

rm -r node_modules

Yeni sürüm 1.2.2 için package-lock.json dosyasını şu şekilde güncelleyin:

npx npm-force-resolutions

Şimdi düğüm modüllerini kurun:

npm install

Bu benim için çalışıyor.

— rohit
kaynak