如何修复 vue-cli-service 漏洞?
Posted
技术标签:
【中文标题】如何修复 vue-cli-service 漏洞?【英文标题】:how to fix vue-cli-service vulnerability? 【发布时间】:2020-09-03 23:10:48 【问题描述】:我刚刚尝试使用 @vue/cli 4.3.1 创建一个新项目,全新安装 Ubuntu 19.10,npm 6.14.4。当我cd 进入项目并运行npm install 时,我得到以下信息:
found 1 high severity vulnerability
run `npm audit fix` to fix them, or `npm audit` for details
运行npm audit fix 产生
fixed 0 of 1 vulnerability in 1285 scanned packages
1 vulnerability required manual review and could not be updated
在运行npm audit 时,我得到了
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ http-proxy │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @vue/cli-service [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @vue/cli-service > webpack-dev-server > │
│ │ http-proxy-middleware > http-proxy │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1486 │
└───────────────┴──────────────────────────────────────────────────────────────┘
这是预期的吗?普通的?可以修复吗?让我担心的是,在没有安装任何恶意软件的干净环境中会发生这种情况,但我也不是 npm 专家……我应该在这里做什么?
【问题讨论】:
【参考方案1】:我在设置一个新的 Vue 项目时遇到了同样的问题。我能够在 Github Vue/Vue-cli 上找到他们解决问题的帖子:
https://github.com/vuejs/vue-cli/issues/5489#issuecomment-629326414
该帖子说他们正在跟踪问题,但作为说明:
注意:因为它只用于本地开发服务器,它不是一个 Vue CLI 项目的实际安全漏洞。随意忽略 如果@vue/cli-service 是你的这个依赖的唯一来源 项目。
所以,我已经继续,暂时忽略了它。我希望当他们更新 NPM 包时,它将使用更新的 http-proxy,从而解决问题。
根据跟踪器本身,它说它已在 http-proxy 版本 1.18.1 中修复。
【讨论】:
感谢您的回答。我可以通过在项目文件夹中运行ncu -u 使用npm-check-updates (npm i -g npm-check-updates) 更新我在package.json 中的依赖项来解决它,之后它没有报告任何漏洞。【参考方案2】:
我建议,在创建 vue cli 项目之前,将 node 和 npm 升级到可用的最新版本。我遇到了同样的问题,这为我解决了部分问题(从之前的 108 个漏洞到之后的 45 个)。
【讨论】:
以上是关于如何修复 vue-cli-service 漏洞?的主要内容,如果未能解决你的问题,请参考以下文章