从GitHub收到一条警告,告知 super agent v3.5.2具有较低的安全风险。 Superagent是随square-connect npm安装的依赖项。应该手动升级还是应该单独使用,因为它是根据Square的API下载的。
Known low severity security vulnerability detected in superagent <3.7.0 defined in package-lock.json.
package-lock.json update suggested: superagent ~> 3.7.0.
应用程序运行时具有以下依赖关系:
"square-connect": "^2.20180918.0"
答案 0 :(得分:0)
我认为最好的方法是直接在their github上发布问题。
如果通过测试,您甚至可以提交具有升级依赖项的请求请求。
应该手动升级
AFAIK没有使用ceil(log2(n))覆盖嵌套依赖关系的标准方法。
即使您n,它仍将其他版本保留为npm的依赖项。
Yarn通过npm install superagent@3.7.0中的square-connect条目来支持它:
resolutions但这不适用于package.json。
答案 1 :(得分:0)
感谢您举报。超级代理已更新。