Как исправить проблему с фигурными скобками для пакетов npm с помощью activ-scripts v2.1.5, когда проверка npm ничего не делает?

Мой пакет NPM в моей папке реагирующего клиента дает мне 63 слабых уязвимости, все из которых связаны с пакетом фигурных скобок, в основном в папке jest пакета activ-scripts версии 2.1.5. Исправление аудита NPM не работает, что мне делать?

Я попытался перейти к предыдущим версиям реагирующих сценариев, обновив фигурные скобки либо обновив package.json, удалив блокировку пакета и снова запустив установку npm, либо запустив фигурные скобки npm, но после 2 часов работы ничего не получилось. Я также пытался вернуться к предыдущей версии моего Github package.json, когда он работал. Я считаю, что он перестал работать после того, как я попытался загрузить firebase-ui, но я думаю, что это связано с обновлением пакетов, так как я несколько раз удалял модули узлов и npm.

Вот что мой чистый package.json, что испортил.

"webpack-dev-server": "3.1.14",
"@babel/core": "*",
"axios": "*",
"body-parser": "*",
"bootstrap": "*",
"cors": "*",
"dotenv": "*",
"draft-js": "*",
"draft-js-export-html": "*",
"errorhandler": "*",
"express": "*",
"express-session": "*",
"history": "*",
"jquery": "*",
"moment": "*",
"mongoose": "*",
"morgan": "*",
"node-sass-chokidar": "*",
"npm-run-all": "*",
"path": "*",
"query-string": "*",
"react": "*",
"react-dom": "*",
"react-loadable": "*",
"react-redux": "*",
"react-router-dom": "*",
"react-router-redux": "*",
"react-scripts": "*",
"react-validation": "*",
"reactstrap": "*",
"recharts": "*",
"redux": "*",
"redux-logger": "*",
"redux-observable": "*",
"redux-thunk": "*",
"rxjs": "*",
"rxjs-compat": "*",
"validator": "*"

И вот вопрос, который я получаю:

Низкое регулярное выражение отказа в обслуживании

Пакетные брекеты

Зависимость реакции-скриптов

Реактивные сценарии пути> jest> jest-cli> micromatch> фигурные скобки

Дополнительная информация https://nodesecurity.io/advisories/786

Ответы

Ответ 1

Я запустил npm install [email protected] и затем npm install [email protected] npm update

Это все еще привело к 63 уязвимостям, но принесло мне скобы к текущей версии. Поэтому я просмотрел и обновил ВСЕ ссылки на braces в package-lock.json до 2.3.2. Затем я снова запустил npm update и когда я запустил npm audit уязвимости исчезли.

Ответ 2

Jest является тестовым пакетом и никогда не появится в вашем рабочем пакете, вы можете игнорировать эту уязвимость без риска.

Этот пакет https://github.com/naugtur/npm-audit-resolver#readme может помочь вам игнорировать слабые уязвимости.