警报安全 Github - 修复 yarn.lock/package-lock.json 漏洞的正确方法是啥

Posted 2023-02-16

【中文标题】警报安全 Github - 修复 yarn.lock/package-lock.json 漏洞的正确方法是啥

【英文标题】：Alerts security Github - what is the correct way to fix vulnerability in yarn.lock/package-lock.json警报安全 Github - 修复 yarn.lock/package-lock.json 漏洞的正确方法是什么

【发布时间】：2020-11-10 14:14:02

【问题描述】：

如您所知，Dependabot 在 yarn.lock 或 package-lock.json 的依赖项中为我们提供了潜在的安全漏洞。

实际上问题是，学习如何解决这个问题并没有什么好处。 如果我们搜索如何，有很多不同的方法可以做到这一点，有时有效，有时无效。我找到了很多关于此的主题，因为很多像我这样的人并不真正了解如何修复漏洞。

我们必须用正确的版本手动替换所有文件吗？ 比如npm audit fix升级包，有时候不行。 如果我们这样做npm install packageName，新包版本会出现，但旧包版本不会消失，所以 gitHub 上的警报仍然存在。

那么yarn呢？

在这个 Github 项目 https://github.com/samuel3105/react-native-animated-tabBar 中，我有这个：

感谢您的回答。

【问题讨论】：

你找到纱线的配方了吗？

我通常升级我的包并且错误被忽略

【参考方案1】：

Dependabot 打开了一个拉取请求Bump lodash from 4.17.15 to 4.17.19 #1

通常在发现错误后，软件包作者会修复它并发布新版本。 Dependabot 告诉您升级版本以修复潜在漏洞，因为 lodash 的作者已经发布了修复程序。您可以合并来自dependabot 的拉取请求并在您的所有开发环境中运行npm install。

或者，如果发现了一个前沿漏洞，包的维护者 (lodash) 还没有发布补丁（你知道修复）。你可以使用patch package之类的东西。

提到了“新的包版本出现，但旧的不消失”。如果 package.json 中的版本对应于修补的工作版本并且问题继续存在。仔细检查你的 node_modules 文件夹，它可能仍然有旧版本并且没有更新。也可能有一个 *.lock 文件指示固定版本（我们正在使用此版本）。确保这两个资源都指向包的最新版本。

编辑：我刚刚进入链接仓库的 yarn.lock 文件并注意到版本lodash "^4.17.13"