npm审核与纱线审核

时间:2019-10-23 08:19:26

标签: npm yarnpkg auditing

我有一个使用yarn作为其包管理器的React Native项目(0.61.4)。

我运行yarn audit时报告了大量漏洞:

18202 vulnerabilities found - Packages audited: 958823
Severity: 18202 High
✨  Done in 14.34s.

大多数位于某些非常深的依赖路径中。例如:

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.12                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ react-native                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ react-native > @react-native-community/cli >                 │
│               │ metro-react-native-babel-transformer > @babel/core > lodash  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1065                        │
└───────────────┴──────────────────────────────────────────────────────────────┘

当我运行npm audit时,它首先报告:

Neither npm-shrinkwrap.json nor package-lock.json found: Cannot audit a project without a lockfile

所以我跑:

npm i --package-lock-only

将生成一个package-lock.json文件。经检查,该文件似乎正确。

现在运行npm audit时,结果为:

=== npm audit security report ===                        

found 0 vulnerabilities

我不理解这两个程序包管理器之间的差异。为什么npm报告0个错误,而yarn报告18.202?

2 个答案:

答案 0 :(得分:4)

如果不查看锁定文件并进行比较,很难估计为什么会发生这种情况。但是,据我所知,只有当两个锁定文件都解析为相同依赖项的不同版本时,它才会发生。
您的yarn.lock文件是较早生成的,因此包含易受攻击的版本和较旧的依赖关系,并且由于package-lock.json是在之后生成的,因此它将解析为这些依赖关系的最新/固定版本。

请记住,npm i --package-lock-only只会创建package-lock.json文件,不安装任何内容,但与实际安装的包不相称。我认为您假设运行该命令只会从已安装的软件包中获取锁定文件,但实际上它会生成锁定文件,就像您在没有标志的情况下运行它一样。

因此,总而言之,两个锁定文件都可以解析为具有相同依赖项的不同(次要/补丁)版本。

答案 1 :(得分:0)

这不是 Yarn 和 Npm 之间的苹果对苹果的比较。他们确实不会报告完全相同的审计警告,但如果您执行以下操作,您可以从 Yarn 获得相同/相似的结果:

rm ./yarn.lock
yarn
yarn audit

这是为什么?因为 Yarn 使用的是您之前的依赖管理工作中的知识,而 Npm 从头开始​​,之前从未在您的项目中运行过。如果您删除 yarn.lock,Yarn 也会从头开始。无论哪种方式,您都将获得所有库的最新补丁级别版本,否则您将无法获得这些版本。这将导致您的许多审核警告消失。

那么yarn.lockpackage-lock.json 是什么?每次安装运行成功后,Yarn 都会在 node_modules 中保存您的 yarn.lock(您的依赖关系树)的最新状态。 NPM 在 package-lock.json 中做同样的事情。这两个自动生成的文件就像您的 package.json 的详细版本,列出了您安装的每个依赖项和子依赖项(版本号低至 x.x.x 补丁级别)——以及安装它们的原因。这样,您的 node_modules 在每次运行 yarn installnpm install 时看起来都完全相同。

然而,这 2 个锁定文件仅由各自的包管理器使用并且不兼容:如果您以交替方式使用 Yarn 和 Npm,它们可能会不断更改您的 node_modules。这将导致许多微妙的错误。这就是为什么您通常应该坚持在一个项目中使用 Yarn 或 Npm。

相关问题
最新问题