所以基本上,每次我用 npx、npm 或 yarn(都尝试过),NodeJS 12 和 NodeJS 16.3.0 和 npm 7.15(或类似的东西)运行 create-react-app 时,它给了我多个依赖漏洞。使用最新版本的 npm 和 nodeJS,我得到 24(11 个中等和 13 个高)。如何解决这些依赖关系?或者可以忽略它们。我想最终在生产模式下使用建议的应用程序,但是我终生无法弄清楚如何解决这些依赖性。
所有漏洞似乎都与反应脚本和拒绝服务有关。在修复中,它表明 npx 审计修复 --force 将通过将 react-scripts 模块更改为 1.1.5 来修复它,但是当我这样做时,会出现更多漏洞,建议使用相同的解决方案,但要恢复到反应脚本 4.0.3。任何建议都会很棒,因为我在这里发疯并找到了 0 个答案。
答案 0 :(得分:0)
由于 browserslist 软件包,我在此处发布了我的解决方案,将漏洞降低为中等风险:
https://stackoverflow.com/a/68046680/1669123
最终我认为我们需要等待 CRA 团队更新 react-scripts。