找到漏洞的来源(在Package.json中)(在Package-lock.json中) [英] Find source (in package.json) of vulnerability (in package-lock.json)

查看:32
本文介绍了找到漏洞的来源(在Package.json中)(在Package-lock.json中)的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!

问题描述

GitHub今天向我发送了一封电子邮件,警告我package-lock.json文件中存在漏洞。但是,据我所知,此文件是在npm install期间从package.json生成的。

如何找出哪个包(来自package.json)链接到易受攻击的包(位于package-lock.json)?

相关问题:

推荐答案

如何找出哪个包(来自package.json)链接到易受攻击的包(位于package-lock.json)?

(回答我自己的问题):易受攻击的包被命名为growl。因此,命令npm ls growl显示依赖它的包:

$ npm ls growl
my-project@1.0.1 C:some_project
`-- mocha@3.5.3
  `-- growl@1.9.2

然后就是寻找使用更新版本的这些包的更新版本(在本例中是mocha)的问题。在回答这一问题时,该漏洞已在GitHub的漏洞分析中修复为Growl@1.10.0。因此,请查看release notes for mocha,看看哪个版本更新到了咆哮1.10。我发现:

4.0.1/2017-10-05

🐛修复

  • #3051:将Crawl升级到v1.10.3以修复其对等设备的问题(@dpoogue)

更新我的package.json以显示"mocha": ">=4.0.1",,然后重新运行npm install,然后重新运行npm ls growl,现在显示当前非易受攻击的咆哮版本:

my-project@1.0.1 C:some_project
`-- mocha@5.2.0
  `-- growl@1.10.5

这篇关于找到漏洞的来源(在Package.json中)(在Package-lock.json中)的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!

查看全文
相关文章
登录 关闭
扫码关注1秒登录
发送“验证码”获取 | 15天全站免登陆