npm 审计修复:1 个高严重性漏洞:任意文件覆盖
npm audit fix: 1 high severity vulnerability: Arbitrary File Overwrite
=== npm audit security report ===
┌───────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└───────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────┐
│ High │ Arbitrary File Overwrite │
├───────────────┼───────────────────────────────────────────────────┤
│ Package │ tar │
├───────────────┼───────────────────────────────────────────────────┤
│ Patched in │ >=4.4.2 │
├───────────────┼───────────────────────────────────────────────────┤
│ Dependency of │ gulp-sass │
├───────────────┼───────────────────────────────────────────────────┤
│ Path │ gulp-sass > node-sass > node-gyp > tar │
├───────────────┼───────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/803 │
└───────────────┴───────────────────────────────────────────────────┘
found 1 high severity vulnerability in 7659 scanned packages
1 vulnerability requires manual review. See the full report for details.
我的建议是尝试升级,但它们看起来确实依赖于第 3 方软件包。
对于 regexDOS,如果正确输入,它可能会停止运行。不同于第二个漏洞。你应该先升级这个或者如果你不能完全删除它。
但是 js-yaml 可能会使某些连接的延迟时间超过应有的时间,如果在不太可能的情况下您无法升级,则可以使用一些软件包来监视和关闭剩余的 http 连接,以及便宜地阻止了一个小的 dos 攻击。 Fail2ban * Splunk 用于监控 spring 需要注意 linux :)
安全审计是对包依赖性安全漏洞的评估。安全审计使您能够找到并修复依赖项中的已知漏洞,这些漏洞可能导致数据丢失、服务中断、未经授权访问敏感信息或其他问题,从而帮助您保护软件包的用户。
npm 安装 npm@latest -g
对我有用
=== npm audit security report ===
┌───────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└───────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────┐
│ High │ Arbitrary File Overwrite │
├───────────────┼───────────────────────────────────────────────────┤
│ Package │ tar │
├───────────────┼───────────────────────────────────────────────────┤
│ Patched in │ >=4.4.2 │
├───────────────┼───────────────────────────────────────────────────┤
│ Dependency of │ gulp-sass │
├───────────────┼───────────────────────────────────────────────────┤
│ Path │ gulp-sass > node-sass > node-gyp > tar │
├───────────────┼───────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/803 │
└───────────────┴───────────────────────────────────────────────────┘
found 1 high severity vulnerability in 7659 scanned packages
1 vulnerability requires manual review. See the full report for details.
我的建议是尝试升级,但它们看起来确实依赖于第 3 方软件包。
对于 regexDOS,如果正确输入,它可能会停止运行。不同于第二个漏洞。你应该先升级这个或者如果你不能完全删除它。
但是 js-yaml 可能会使某些连接的延迟时间超过应有的时间,如果在不太可能的情况下您无法升级,则可以使用一些软件包来监视和关闭剩余的 http 连接,以及便宜地阻止了一个小的 dos 攻击。 Fail2ban * Splunk 用于监控 spring 需要注意 linux :)
安全审计是对包依赖性安全漏洞的评估。安全审计使您能够找到并修复依赖项中的已知漏洞,这些漏洞可能导致数据丢失、服务中断、未经授权访问敏感信息或其他问题,从而帮助您保护软件包的用户。
npm 安装 npm@latest -g
对我有用