当nsp在依赖项的依赖项中发现漏洞时该怎么办

时间:2017-10-02 13:08:12

标签: node.js npm winston npm-update

我在一个项目上运行nsp我即将部署并且我遇到了这个漏洞

 Name          │ mime
 CVSS          │ 7.5 (High)
 Installed     │ 1.2.11
 Vulnerable    │ < 1.4.1 || > 2.0.0 < 2.0.3
 Patched       │ >= 1.4.1 < 2.0.0 || >= 2.0.3
 Path          │ myProject@1.0.0 > winston-s3@1.0.0 > winston@0.7.3 > request@2.16.6 > form-data@0.0.10 > mime@1.2.11
 More Info     │ https://nodesecurity.io/advisories/535

现在我知道我需要更新&#34; mime&#34;依赖,但我的问题是漏洞是依赖的依赖项的依赖。

我的&#39; winston-s3&#39;当我要去节点模块/ winston-s3 / node_modules / winston /&#39;时,依赖关系是最新的。没有&#39; node_modules&#39;目录和&#34; mime&#34;主节点_模块中的依赖关系&#39;目录是最新的,所以我猜winston-s3没有使用此代码。

知道如何解决这个问题吗?

非常感谢!

0 个答案:

没有答案