警报安全 Github - 修复 yarn.lock/package-lock.json 漏洞的正确方法是啥
Posted
技术标签:
【中文标题】警报安全 Github - 修复 yarn.lock/package-lock.json 漏洞的正确方法是啥【英文标题】:Alerts security Github - what is the correct way to fix vulnerability in yarn.lock/package-lock.json警报安全 Github - 修复 yarn.lock/package-lock.json 漏洞的正确方法是什么 【发布时间】:2020-11-10 14:14:02 【问题描述】:如您所知,Dependabot 在 yarn.lock
或 package-lock.json
的依赖项中为我们提供了潜在的安全漏洞。
实际上问题是,学习如何解决这个问题并没有什么好处。 如果我们搜索如何,有很多不同的方法可以做到这一点,有时有效,有时无效。我找到了很多关于此的主题,因为很多像我这样的人并不真正了解如何修复漏洞。
我们必须用正确的版本手动替换所有文件吗?
比如npm audit fix
升级包,有时候不行。
如果我们这样做npm install packageName
,新包版本会出现,但旧包版本不会消失,所以 gitHub 上的警报仍然存在。
那么yarn
呢?
在这个 Github 项目 https://github.com/samuel3105/react-native-animated-tabBar 中,我有这个:
感谢您的回答。
【问题讨论】:
你找到纱线的配方了吗? 我通常升级我的包并且错误被忽略 【参考方案1】:Dependabot 打开了一个拉取请求Bump lodash from 4.17.15 to 4.17.19 #1
通常在发现错误后,软件包作者会修复它并发布新版本。 Dependabot 告诉您升级版本以修复潜在漏洞,因为 lodash 的作者已经发布了修复程序。您可以合并来自dependabot 的拉取请求并在您的所有开发环境中运行npm install
。
或者,如果发现了一个前沿漏洞,包的维护者 (lodash) 还没有发布补丁(你知道修复)。你可以使用patch package之类的东西。
提到了“新的包版本出现,但旧的不消失”。如果 package.json 中的版本对应于修补的工作版本并且问题继续存在。仔细检查你的 node_modules 文件夹,它可能仍然有旧版本并且没有更新。也可能有一个 *.lock 文件指示固定版本(我们正在使用此版本)。确保这两个资源都指向包的最新版本。
编辑:我刚刚进入链接仓库的 yarn.lock 文件并注意到版本lodash "^4.17.13"
【讨论】:
以上是关于警报安全 Github - 修复 yarn.lock/package-lock.json 漏洞的正确方法是啥的主要内容,如果未能解决你的问题,请参考以下文章
Android- 使用 EditText 帮助修复自定义警报对话框
Xcode 显示“该文档发现并修复了 4 个问题。/多个资源具有相同的名称:groupTableViewBackgroundColor。”警报
windows安全警报怎么关闭 如何关闭windows安全警报