在 node-forge 中检测到漏洞

Posted 2023-03-07

【中文标题】在 node-forge 中检测到漏洞

【英文标题】：Vulnerability detected in node-forge

【发布时间】：2021-01-02 03:28:36

【问题描述】：

我最近开始了一个新的 Vue.js 项目。在我最近一次 GitHub 提交后，我收到了以下 Dependabot 通知：

在 node-forge 0.10.0.

如何更新 node-forge？我已经运行了 npm audit fix。

node-forge 仅在我的 package-lock.json 文件中，是“自签名”依赖项所必需的。

【参考方案1】：

你可以试试

npm update

这应该将所有包更新到最新版本，遵守 package.json / package-lock.json 中的语义版本控制规则。

您也可以尝试允许 Dependabot 生成拉取请求来解决问题。如果您选择警报本身，您应该会看到一个类似这样的按钮：

这将尝试创建一个拉取请求（这不会总是成功）并且通常需要几分钟。完成后，您可以查看和合并。

【讨论】：

npm update 似乎已经解决了这个问题。谢谢大家的帮助。

【参考方案2】：

如果npm update 没有解决它，我通过删除package-lock.json 和node_modules 来修复它，然后运行npm install 重新创建两者。

我希望这是一个快速而肮脏的修复程序，可能不适合团队开发，但这是一个存在 3 周以上的高严重性安全漏洞，需要解决。请务必在 package-lock.json 上运行 git diff 并确认它没有更新它不应该更新的任何内容。

对我来说，Dependabot 并没有像往常那样创建 PR，因为缺陷出现在 node-forge 0.9.0 中，而补丁出现在 0.10.0 中，自签名被认为是一项重大更改。 npm audit 没有发现任何漏洞，&npm update 进行了几次更新，但没有将 node-forge 更新到 0.10.0，也没有自签名到 1.10.8（更新了它的 node-forge 版本参考）。我使用的是 webpack-dev-server 3.11.0，它依赖于自签名 ^1.10.7。重新创建 package-lock.json 后，webpack-dev-server 引用没有改变，但自签名和 node-forge 版本更新了，这正是我想要的。

【参考方案3】：

最近在自签名中修复了 node-forge 0.9.0 中的漏洞。尝试更新自签名。它为我解决了这个问题。 请检查链接以供参考。 Selfsigned github link

【参考方案4】：

原因：

node-forge@0.9.0需要更新为node-forge@^0.10.0

解决方案 (NPM)

rm -rf node-modules

rm package.lock

npm cache clean

npm i

溶液（纱线）

rm -rf node_modules

rm yarn.lock

yarn cache clean

yarn

说明

这应该会导致使用 node-forge 的库更新自己的依赖项。

【讨论】：

npm 解决方案不正确，应该是rm -rf node_modules，如果你使用的是windows，请使用rm -r node_modules 和rm pacakge-lock.json

等等，所有这些都需要完成吗？只运行npm install node-forge --save 怎么样？