我运行了yarn audit --level high,结果得到了10个漏洞包
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ dot-prop │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.2.1 <5.0.0 || >=5.1.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pwmetrics │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ pwmetrics > lighthouse > configstore > dot-prop │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1213 │
└───────────────┴──────────────────────────────────────────────────────────────┘
more...
然后我将软件包更新为pwmetrics@4.2.3版本,然后进行了相同的审核检查,但结果仍然相同。