由于漏洞需要人工审核,无法部署应用

时间:2021-07-21 11:04:57

标签: reactjs npm create-react-app

我想部署我的应用程序但是有 3 个漏洞我不知道如何解决它们。我使用了 npm audit fix 并且我通过手动更新解决了一些漏洞。所以这是有人帮助我的手动审查:

  Manual Review
             Some vulnerabilities require your attention to resolve

          Visit https://go.npm.me/audit-guide for additional guidance


  Moderate        Regular Expression Denial of Service

  Package         browserslist

  Patched in      >=4.16.5

  Dependency of   react-scripts

  Path            react-scripts > react-dev-utils > browserslist

  More info       https://npmjs.com/advisories/1747


  Moderate        Regular expression denial of service

  Package         glob-parent

  Patched in      >=5.1.2

  Dependency of   react-scripts

  Path            react-scripts > webpack > watchpack > watchpack-chokidar2 >
                  chokidar > glob-parent

  More info       https://npmjs.com/advisories/1751


  Moderate        Regular expression denial of service

  Package         glob-parent

  Patched in      >=5.1.2

  Dependency of   react-scripts

  Path            react-scripts > webpack-dev-server > chokidar > glob-parent

  More info       https://npmjs.com/advisories/1751

found 3 moderate severity vulnerabilities in 2195 scanned packages
  3 vulnerabilities require manual review. See the full report for details.

2 个答案:

答案 0 :(得分:2)

answer here 给出了很好的解释。

通常,您会按顺序尝试这些解决方案:

  • npm audit fix(听起来您已经这样做了)
  • npm audit fix --force
  • npm i react-scripts(有漏洞的包的父包)
  • npm i browserslist@4.16.5 glob-parent@5.1.2(漏洞包本身)

但是,我们可以看到(在我写这篇文章的时候)这个问题没有在 react-dev-utils' package.json 中解决。此外, package.json 使用一个确切的版本(无脱字符)。 这两个事实意味着上面列出的这些解决方案都不起作用。

您有两个选择:

  • 克隆 create-react-app repo,自己修复版本并使用克隆版本而不是真实版本
  • 等待 create-react-app 修复它,此时上述解决方案之一应该可以工作

我强烈建议后一种方法。

答案 1 :(得分:1)

也许@DanAbramov 写的这篇文章对你来说会很有趣https://overreacted.io/npm-audit-broken-by-design/

相关问题
最新问题