我刚刚通过NPM安装了Flickity,并在运行npm audit
之后获得了一个NPM Audit Security报告,指出我在tar包上有一个高漏洞问题,涉及任意文件重写,而tar是node-sass的依赖项,您可以在此处看到:
High......................... Arbitrary File Overwrite
Package...................... tar
Patched in................... >=4.4.2
Dependency of................ node-sass [dev]
Path......................... node-sass > node-gyp > tar
More info.................... https://npmjs.com/advisories/803
运行npm audit fix
无法解决问题,因为漏洞需要手动检查。在more info链接中的建议是升级到4.4.2
版本或更高版本。当我运行npm show tar version
时,我意识到我正在运行版本4.4.8
,所以这让我感到困惑。我去看了package-lock.json
,发现node-gyp作为node-sass的依赖项,使用的tar版本是^2.0.0
这使我感到困惑,因为我已经看到很多不同版本的tar作为其他软件包的依赖项,但是这个node-sass > node-gyp > tar version
是唯一一个低于v4.4.2
的版本。为什么会这样,为什么我必须手动修复它,我如何手动修复/升级这个tar包?