查找漏洞的源代码(在package.json中)(在package-lock.json中)

时间:2018-06-08 15:48:20

标签: github npm npm-install

GitHub今天给我发了一封电子邮件,警告我package-lock.json文件中存在漏洞。但是,据我了解,此文件是在npm install的{​​{1}}期间生成的。

如何找出哪个包(来自package.json)与易受攻击的包(package.json)相关联?

相关问题:

1 个答案:

答案 0 :(得分:5)

  

如何找出哪个包(来自package-lock.json)与易受攻击的包(package.json)相关联?

(回答我自己的问题):易受攻击的软件包名为package-lock.json。因此,命令growl显示依赖它的包:

npm ls growl

然后问题是找到使用更现代版本的那些软件包的新版本(在本例中为mocha)。在回答这个问题时,漏洞已在growl@1.10.0中修复(根据GitHub的漏洞分析)。因此,请查看release notes for mocha以查看更新后的版本增长1.10。我发现:

  

4.0.1 / 2017-10-05

     

修正

     
      
  • #3051:将Growl升级到v1.10.3以解决其对等问题(@dpogue)
  •   

更新我的$ npm ls growl my-project@1.0.1 C:\some_project `-- mocha@3.5.3 `-- growl@1.9.2 以显示package.json,然后重新运行"mocha": ">=4.0.1",,然后npm install现在显示当前非易受攻击的咆哮版本:

npm ls growl