logo标签列表

如何修复vue-cli-service漏洞?

vue.jssecuritynpmvue-cli
10

我刚刚尝试使用 @vue/cli 4.3.1 在全新安装的Ubuntu 19.10系统中创建一个新项目,npm 6.14.4版本。当我 cd 到该项目并运行 npm install 命令时,我收到了以下错误信息:

found 1 high severity vulnerability
  run `npm audit fix` to fix them, or `npm audit` for details

运行npm audit fix将产生:
fixed 0 of 1 vulnerability in 1285 scanned packages
  1 vulnerability required manual review and could not be updated

运行 npm audit 后,我得到了以下结果:

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ http-proxy                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @vue/cli-service [dev]                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @vue/cli-service > webpack-dev-server >                      │
│               │ http-proxy-middleware > http-proxy                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1486                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

这是正常的吗?可以修复吗?让我担心的是在没有安装任何恶意软件的情况下出现这种情况,但我也不是 npm 专家......在这里我该怎么做?

3个回答
8
我正在设置一个新的Vue项目,遇到了同样的问题。我在Github的Vue/Vue-cli页面上找到了一篇帖子来解决这个问题:https://github.com/vuejs/vue-cli/issues/5489#issuecomment-629326414。那篇帖子说他们正在跟进这个问题,但是需要注意的是:
“注:由于它只用于本地开发服务器,因此这不是Vue CLI项目中的实际安全漏洞。如果@vue/cli-service是您项目中此依赖项的唯一来源,请随意忽略它。”
所以,目前我已经忽略了它。我希望当他们更新NPM包时,会使用更新的http-proxy来解决这个问题。根据跟踪器本身的说法,它在http-proxy版本1.18.1中已得到修复。
1
谢谢您的回答。我通过在项目文件夹中使用npm-check-updates (npm i -g npm-check-updates) 运行 ncu -u 来更新我的依赖项,之后它没有报告任何漏洞,我已经解决了这个问题。 - Tobias Feil
2

我建议,在创建vue cli项目之前,将node和npm升级到最新版本。我曾经也遇到过同样的问题,这个方法在一定程度上解决了问题(从108个漏洞降至45个)。

0

目前还没有针对这些问题的修复措施。 npm建议在补丁可用之前考虑使用另一个软件包。

1
你的回答可以通过提供更多支持信息来改进。请编辑以添加进一步的细节,例如引用或文档,以便他人可以确认你的答案是正确的。您可以在帮助中心中找到有关如何编写良好答案的更多信息。 - Community
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接