Как исправить эти уязвимости? (исправление аудита npm не может исправить эти уязвимости)

9

В моем проекте 6 уязвимостей высокой степени опасности, и я не знаю, как их исправить. Исправление аудита npm не выполняется. Пожалуйста, помогите мне исправить это.

Я устанавливал https://www.npmjs.com/package/toastr в свой проект, и после его установки были обнаружены уязвимости. Я не знаю, есть ли связь. === Отчет о безопасности аудита npm ===

                             Manual Review                                  
         Some vulnerabilities require your attention to resolve             

      Visit https://go.npm.me/audit-guide for additional guidance           


High            Machine-In-The-Middle                                         

Package         https-proxy-agent                                             

Patched in      >=3.0.0                                                       

Dependency of   @angular/cli [dev]                                            

Path            @angular/cli > @schematics/update > pacote >                  
                make-fetch-happen > https-proxy-agent                         

More info       https://npmjs.com/advisories/1184

High            Machine-In-The-Middle                                         

Package         https-proxy-agent                                             

Patched in      >=3.0.0                                                       

Dependency of   @angular/cli [dev]                                            

Path            @angular/cli > pacote > make-fetch-happen >                   
                https-proxy-agent                                             

More info       https://npmjs.com/advisories/1184

High            Machine-In-The-Middle                                         

Package         https-proxy-agent                                             

Patched in      >=3.0.0                                                       

Dependency of   @angular/cli [dev]                                            

Path            @angular/cli > @schematics/update > pacote >                  
                npm-registry-fetch > make-fetch-happen > https-proxy-agent    

More info       https://npmjs.com/advisories/1184

High            Machine-In-The-Middle                                         

Package         https-proxy-agent                                             

Patched in      >=3.0.0                                                       

Dependency of   @angular/cli [dev]                                            

Path            @angular/cli > pacote > npm-registry-fetch >                  
                make-fetch-happen > https-proxy-agent                         

More info       https://npmjs.com/advisories/1184

High            Machine-In-The-Middle                                         

Package         https-proxy-agent                                             

Patched in      >=3.0.0                                                       

Dependency of   protractor [dev]                                              

Path            protractor > browserstack > https-proxy-agent                 

More info       https://npmjs.com/advisories/1184

High            Machine-In-The-Middle                                         

Package         https-proxy-agent                                             

Patched in      >=3.0.0                                                       

Dependency of   protractor [dev]                                              

Path            protractor > saucelabs > https-proxy-agent                    

More info       https://npmjs.com/advisories/1184

angular npm
источник

10

1) npm i --save-dev npm-force-разрешения

2) Добавьте это в свой package.json

"olutions ": {" https-proxy-agent ":" ^ 3.0.0 "}

3) Пусть npm-force-Resolution делает свое дело

rm -r node_modules
npx npm-force-resolutions
npm install

4) повторно запустите аудит.

Шрифт: https://github.com/TooTallNate/node-https-proxy-agent/issues/84#issuecomment-543884972

Хосе Луис Гонзага Нето
источник

1

Это решение работает только в течение некоторого времени, и снова возникает та же проблема

2

Исправления BUILD проблемы и общие проблемы с установкой:

package.json

{
  ...
  "scripts": {
     "resolve-install": "npx npm-force-resolutions && npm install"
  },
  "resolutions": {
    "https-proxy-agent": "^3.0.0"
  }
}

Тогда вместо того, чтобы npm installпросто запустить cmdили Dockerfile:

npm run resolve-install

Кевин Аптон
источник

0

Посмотрите на эту тему: Как переопределить вложенные версии зависимостей NPM?

Просто замените соответствующие пакеты на перечисленные в аудите.

Ваал
источник

Как исправить эти уязвимости? (исправление аудита npm не может исправить эти уязвимости)

Ответы: