gpt4 book ai didi

security - 警报安全 Github - 修复 yarn.lock/package-lock.json 中漏洞的正确方法是什么

转载 作者:行者123 更新时间:2023-12-03 16:48:21 27 4
gpt4 key购买 nike

如您所知,Dependabot 在 yarn.lock 中的依赖项中为我们提供了潜在的安全漏洞。或 package-lock.json .
实际上问题是,学习如何解决这个问题没有好处。
如果我们搜索如何做,有很多不同的方法可以做到,有时有效,有时无效。我找到了很多关于此的主题,因为很多像我这样的人并不真正了解如何修复漏洞。
我们是否必须用正确的版本手动替换所有文件?
例如 npm audit fix升级包,有时不行。
如果我们这样做 npm install packageName新的软件包版本出现,但旧的没有消失,所以 gitHub 上的警报仍然存在。
那么yarn ?
在这个 Github 项目中 https://github.com/samuel3105/react-native-animated-tabBar , 我有这个:
enter image description here
感谢您的回答。

最佳答案

Dependabot 开启了一个拉取请求 Bump lodash from 4.17.15 to 4.17.19 #1
通常在发现错误后,包作者会修复它并发布新版本。由于 lodash 的作者已经发布了一个修复程序, Dependabot 告诉你提高你的版本来修复一个潜在的漏洞。您可以合并来自dependabot 的拉取请求并运行npm install在您的所有开发环境中。
或者,如果发现了最前沿的漏洞,则包 (lodash) 的维护者尚未发布补丁(您知道修复程序)。你可以使用类似 patch package 的东西.
提到了“新的软件包版本出现但旧的不会消失”。如果 package.json 中的版本对应于修补的工作版本并且问题继续存在。仔细检查您的 node_modules 文件夹,它可能仍然具有旧版本并且尚未更新。可能还有一个 *.lock 文件指示固定版本(我们正在使用这个版本)。确保这两个资源都指向包的最新版本。
编辑:我刚刚进入链接存储库的 yarn.lock 文件并注意到版本 lodash "^4.17.13"

关于security - 警报安全 Github - 修复 yarn.lock/package-lock.json 中漏洞的正确方法是什么,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63010438/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com