如何解决npm audit fix问题？

Question

如何解决npm audit fix问题？

29

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ react-native-cached-image                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ react-native-cached-image > lodash                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/577                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 11 vulnerabilities (2 low, 8 moderate, 1 high) in 26316 scanned packages
  11 vulnerabilities require manual review. See the full report for details.

当我尝试运行 `npm install` 时出现了这个问题，并且它们都需要手动审核。我尝试访问这里获取更多信息，显然是因为我的 `lodash` 版本是 `4.17.4`。所以我运行了 `npm install --save lodash@4.17.5` 并检查了我的 `package.json` 确保它正确反映了这样的更改。

然而，漏洞仍然存在。不知道我是否使用了错误的修复方法？

按照要求，这是 `package.json` 文件的正文。

"dependencies": {
   "lodash": "^4.17.5",
}

- Isaac

1

在你的 package.json 文件中，lodash 的依赖项是什么？请在问题正文中发布实际字符串。 - Akrion

1

@Akrion：是的，它确实有。 - Isaac

1

等一下...它谈到了react-native-cached-image这个库有问题，因为它可能依赖于那个较旧版本的lodash，你能在那个库的package.json中看到它说了什么吗？ - Akrion

1

在那个库中，你有4.17.4版本，刚刚在他们的GitHub上检查了一下，链接为https://github.com/kfiroo/react-native-cached-image/blob/master/package.json#L51 - Akrion

2个回答

10

问题与react-native-cached-image包相关，该包依赖于lodash 4.17.4，您可以在此处查看：https://github.com/kfiroo/react-native-cached-image/blob/master/package.json#L51

- Akrion

3

那么我只能等待软件包所有者自己更新依赖关系吗？或者对于本地版本，我可以做些什么来解决它？ - Isaac

2

能否进入node_module并对该包进行npm更新？ - Isaac

1

他们的最新版本是 v1.4.3。如果你正在使用这个版本，那么你可以等待（并可能在他们的代码库上打开一个问题以解决此问题），或者你也可以fork他们的代码库并自己进行更改。看看是否能够解决问题。这样至少你就知道问题所在和解决方案。 - Akrion

1

如果你fork并修改了它... 如果没有副作用/错误，你可以推送一个PR并查看是否被接受等。 - Akrion

1

有什么进展吗？你能证明在那个包中更改lodash版本可以解决问题吗？ - Akrion

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Vasiliy Vanchuk · Accepted Answer

您可以使用https://github.com/rogeriochaves/npm-force-resolutions解决这个问题。

1）添加resolutions部分

"resolutions": {
  "lodash": "^4.17.5"
}

2) 运行

rm -r node_modules
npx npm-force-resolutions
npm install