找到漏洞的来源(在Package.json中)(在Package-lock.json中) [英] Find source (in package.json) of vulnerability (in package-lock.json)
本文介绍了找到漏洞的来源(在Package.json中)(在Package-lock.json中)的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
package-lock.json
文件中存在漏洞。但是,据我所知,此文件是在npm install
期间从package.json
生成的。
如何找出哪个包(来自package.json
)链接到易受攻击的包(位于package-lock.json
)?
相关问题:
推荐答案
如何找出哪个包(来自
package.json
)链接到易受攻击的包(位于package-lock.json
)?
(回答我自己的问题):易受攻击的包被命名为growl
。因此,命令npm ls growl
显示依赖它的包:
$ npm ls growl
my-project@1.0.1 C:some_project
`-- mocha@3.5.3
`-- growl@1.9.2
然后就是寻找使用更新版本的这些包的更新版本(在本例中是mocha)的问题。在回答这一问题时,该漏洞已在GitHub的漏洞分析中修复为Growl@1.10.0。因此,请查看release notes for mocha,看看哪个版本更新到了咆哮1.10。我发现:
4.0.1/2017-10-05
🐛修复
- #3051:将Crawl升级到v1.10.3以修复其对等设备的问题(@dpoogue)
更新我的package.json
以显示"mocha": ">=4.0.1",
,然后重新运行npm install
,然后重新运行npm ls growl
,现在显示当前非易受攻击的咆哮版本:
my-project@1.0.1 C:some_project
`-- mocha@5.2.0
`-- growl@1.10.5
这篇关于找到漏洞的来源(在Package.json中)(在Package-lock.json中)的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文