=== npm审核安全报告===
┌────────────────────────────── ──────────────── │人工审核│ │有些漏洞需要您解决│ ││ │访问https://go.npm.me/audit-guide以获取更多指南│ └────────────────────────────── ────────────────┘ ┬──────────────┬─────────────────── ────────────────┐ │高│任意文件覆盖│ ├─────────────┼───────────────── ────────────────┤ │包装│焦油│ ├─────────────┼───────────────── ────────────────┤ │修补│> = 4.4.2│ ├─────────────┼───────────────── ────────────────┤ │依附性│gulp-sass│ ├─────────────┼───────────────── ────────────────┤ │路径│gulp-sass> node-sass> node-gyp> tar│ ├─────────────┼───────────────── ────────────────┤ │更多信息│https://nodesecurity.io/advisories/803│ ┴──────────────┴─────────────────── ────────────────┘ 在7659个扫描程序包中发现1个严重漏洞 1个漏洞需要手动检查。有关详细信息,请参见完整报告。
答案 0 :(得分:0)
我的建议是尝试升级,但它们确实依赖于第三方软件包。
对于regexDOS,如果输入正确,它将使事情停滞不前。与第二个漏洞不同。您应该先升级它,或者如果不能升级则将其彻底删除。
但是js-yaml可能会使某些连接滞留的时间比应有的长,如果在极少数情况下您无法升级,则可以使用一些软件包来监视和关闭其余的HTTP连接并廉价地持有-进行一次小的dos攻击。 Fail2ban * Splunk用于监视Linux的思想:)
答案 1 :(得分:0)
答案 2 :(得分:0)
请参阅answer to your question。但是,这可能是一个临时修复,如前所述,该问题现在已经解决。
答案 3 :(得分:0)
安全审核是对软件包依赖项的安全漏洞的评估。安全审核使您能够查找并修复依赖项中的已知漏洞,这些漏洞可能导致数据丢失,服务中断,对敏感信息的未授权访问或其他问题,从而帮助您保护程序包的用户。
npm安装npm @ latest -g
对我有用的