当您安装的软件包或其依赖项中检测到安全漏洞时,github 会定期向您发送警报。我曾经尝试让 dependentabot 为我修复它们。然而,有一半的时间我无法合并为我生成的 pr。结果,违规行为就被赤裸裸地处理了,这可不好。就我而言,我使用 pnpm,我想它与 npm 相同。
我今天看到了 Niraj Chauhan 的这篇文章,它让我了解了如何使用终端来解决这些问题。
步骤:
您从 Github 收到 dependentabot 警报:
我知道,上面屏幕截图中的包名称与文章的其余部分不匹配。但这是关于步骤的,你明白了。导航到计算机中的项目并运行 pnpmaudit。您应该会看到有关漏洞的详细信息:
在路径部分,您应该看到导致此问题的原因。就我而言,它似乎是“嵌套依赖项”(依赖项的依赖项)。
您可以运行 pnpm Why NAME_OF_THE_EXTENSION 来确认上述内容。就我而言,当我在第一个漏洞上运行它时,我得到了这个:pnpm Why netmask
您可以尝试运行 pnpmauditfix,但它对我不起作用。
打开 package.json 并更新导致此问题的包版本 – 在我的例子中为 mailgun-js。您可以运行 pnpm view NAME_OF_THE_PACKAGE versions 查看所有版本,或运行 pnpm info NAME_PACKAGE version 了解最新的稳定版本。
如果不同,请使用您需要的版本编辑 package.json 文件,然后再次运行 pnpm i。之后,再次运行 pnpmaudit 以确认漏洞已消失。如果它仍然存在,请重新开始或继续阅读。
就我而言,我安装的是最新的稳定版本,所以我需要采取另一种方法。
我们可以强制 pnpm 安装特定版本的嵌套依赖项。 pnpm 文档在这里,您可以在 package.json 文件中这样做:
我尝试覆盖的版本出现错误,因此我在 package.json 文件中写入了最新版本:
运行 pnpm i 和 happy days,该软件包的漏洞不再存在。
编辑 25/10:根据此 Stackoverflow 线程,Github dependentabot 和 pnpm 审核源都来自同一数据库,因此您不会错过漏洞,而是以这种方式修复问题,而不是使用 dependentabot 工作流程。还有这篇博文。
以上就是修复 JS 项目中的包安全漏洞的步骤的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1494292.html
微信扫一扫 
支付宝扫一扫 
