GitHub今天给我发了一封电子邮件,警告我package-lock.json文件中存在漏洞。但是,据我了解,此文件是在npm install的{{1}}期间生成的。
如何找出哪个包(来自package.json)与易受攻击的包(package.json)相关联?
相关问题:
答案 0 :(得分:5)
如何找出哪个包(来自
package-lock.json)与易受攻击的包(package.json)相关联?
(回答我自己的问题):易受攻击的软件包名为package-lock.json。因此,命令growl显示依赖它的包:
npm ls growl然后问题是找到使用更现代版本的那些软件包的新版本(在本例中为mocha)。在回答这个问题时,漏洞已在growl@1.10.0中修复(根据GitHub的漏洞分析)。因此,请查看release notes for mocha以查看更新后的版本增长1.10。我发现:
4.0.1 / 2017-10-05
修正
- #3051:将Growl升级到v1.10.3以解决其对等问题(@dpogue)
更新我的$ npm ls growl
my-project@1.0.1 C:\some_project
`-- mocha@3.5.3
`-- growl@1.9.2
以显示package.json,然后重新运行"mocha": ">=4.0.1",,然后npm install现在显示当前非易受攻击的咆哮版本:
npm ls growl