我可能有点落后,但我昨天刚刚升级了NPM,现在我遇到了各种各样的漏洞,包括原型污染,内存暴露和正常表达拒绝服务等模块依赖。
我正在使用的软件包正在编译,重命名,“uglifying”并使用像gulp或webpack这样的构建过程来压缩我的资产。
所以,我想我想知道修复这些漏洞有多重要,或者它们与我的过程有多重要,因为它们仅在本地用于构建我的资产(scss - > css,babel和图像压缩)。
我的预感是,虽然你总是希望在谨慎方面出错,但由于它们没有在节点服务器或任何实时进程,用户输入等上使用...它可能无关紧要原本以为。我离开了吗?
答案 0 :(得分:4)
你的预感是正确的 ......但要谨慎。
使用NPM的cli命令 npm-audit 运行安全审核并检查每个列出的漏洞,以便得出根据你的情况危险。
您可以尝试修复这些漏洞:
npm audit fix
...但有时候,这只会解决部分漏洞警告问题,尝试将这些相关问题更新到下一个可能的semver版本,而不会破坏功能。
基本上, UNTIL 您将这些软件包的通知和注意事项仅作为生成器脚本,构建任务和自动化运行,您将会很好。
但请尽快将其更新为最新版本。我建议 npm-check-updates 查看已安装软件包的更新版本。