Найдено 4 уязвимостей при установке npm

Я только начинаю с реагирования. При установке этого пакета

npm install --save react-native-validator-form https://github.com/NewOldMax/react-native-validator-form/issues/3

Мне было предложено выполнить npm audit на npm audit и мне было показано 4 уязвимости (перечисленные выше)

После выполнения 2 вспомогательных команд мне было предложено еще 2 уязвимости (см. Ссылку)

Как я могу исправить оставшиеся проблемы?

Обновление соответствующих пакетов npm не помогло.

Не уверен, как действовать дальше. Надеюсь, кто-нибудь может мне помочь. Благодарю.

Ответы

Ответ 1

Это результат новой версии npm, включая команду аудита.

Это не новая проблема с Angular CLI, npm только что представил новую функциональность в npm, чтобы предупредить пользователей об уязвимостях в пакетах, которые они устанавливают - так что в Angular нет "новой" уязвимости, просто теперь npm теперь предупреждает Вы о уязвимостях, которые уже существовали:

https://blog.npmjs.org/

Большинство проблем проистекает из Кармы, поэтому ее нужно исправить, чтобы команда Angular добавила новую версию Кармы karma-runner/karma # 2994

Ответ 2

Если вы запустили npm audit и обнаружили уязвимости, у вас могут быть разные сценарии:

В предложенных обновлениях обнаружены уязвимости безопасности

  • Запустите подкоманду исправления аудита npm, чтобы автоматически установить совместимые обновления для уязвимых зависимостей.

  • Запустите рекомендуемые команды по отдельности, чтобы установить обновления для уязвимых зависимостей. (Некоторые обновления могут быть очень важными; для получения дополнительной информации см. "Предупреждения SEMVER".)

Обнаружены уязвимости в системе безопасности, требующие проверки вручную

  • Если обнаружены уязвимости в системе безопасности, но исправлений нет, отчет об аудите предоставит информацию об этой уязвимости, чтобы вы могли продолжить расследование.

Источник: проверка и проверка отчета по аудиту безопасности.

Ответ 3

Даже после запуска npm audit fix, если он не исправлен, для продолжения, я думаю, вам следует отключить аудит npm. Используйте команду ниже, чтобы отключить аудит npm.

при установке одного пакета.

npm install example-package-name --no-audit

Чтобы отключить аудит npm при установке всех пакетов

npm set audit false

он установит для параметра аудита значение false в ваших пользовательских и глобальных конфигурационных файлах npmrc.

для ознакомительного посещения: выключить-npm-аудит

Надеюсь, что это поможет, и вы можете приступить к работе :) Удачной кодировки

Ответ 4

У меня была та же проблема, и журнал был как ниже:

Testing binary
Binary is fine
added 1166 packages from 1172 contributors and audited 39128 packages in 112.505s
found 1 high severity vulnerability

Я выполнил приведенную ниже команду, и она была исправлена.

npm audit fix

журнал показывает как показано ниже:

Testing binary
Binary is fine
+ @angular-devkit/[email protected]
added 18 packages from 47 contributors, removed 14 packages and updated 52 packages in 64.529s
fixed 1 of 1 vulnerability in 39128 scanned packages

Ответ 5

Во время выполнения этой команды у меня была такая же проблема:

npm install ngx-bootstrap --save

... и решила его, выполнив командную строку как администратор.

Итак, откройте командную строку как администратор, а затем повторите попытку. Надеюсь, это сработает.