我刚刚尝试使用@vue/cli 4.3.1创建一个新项目,这是Ubuntu 19.10的全新安装,npm 6.14.4。当我cd进入项目并运行npm install时,我得到以下信息:
found 1 high severity vulnerability
run `npm audit fix` to fix them, or `npm audit` for details
运行npm audit fix产生
fixed 0 of 1 vulnerability in 1285 scanned packages
1 vulnerability required manual review and could not be updated
运行npm audit后,我得到了
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ http-proxy │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @vue/cli-service [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @vue/cli-service > webpack-dev-server > │
│ │ http-proxy-middleware > http-proxy │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1486 │
└───────────────┴──────────────────────────────────────────────────────────────┘
这是预期的吗?正常?可以解决?令我担心的是,在没有安装恶意软件的干净环境中会发生这种情况,但是我又不是npm专家...在这里我该怎么办?
答案 0 :(得分:2)
我正在建立一个新的Vue项目,并遇到了同样的问题。我能够在Github Vue / Vue-cli上找到他们解决该问题的帖子:
https://github.com/vuejs/vue-cli/issues/5489#issuecomment-629326414
该帖子称他们正在跟踪问题,但请注意:
注意:由于它仅用于本地开发服务器,因此不是 Vue CLI项目上的实际安全漏洞。随意忽略 如果@ vue / cli-service是您中此依赖项的唯一来源 项目。
因此,我暂时忽略了它。我希望当他们更新NPM软件包时,它将使用更新的http-proxy解决此问题。
根据跟踪器本身,它说它已在http-proxy版本1.18.1中修复。
答案 1 :(得分:2)
我建议,在创建 vue cli 项目之前,将 node 和 npm 升级到可用的最新版本。我遇到了同样的问题,这为我解决了部分问题(从之前的 108 个漏洞到之后的 45 个)。