gpt4 book ai didi

npm - 了解 NPM 漏洞 - 隧道代理

转载 作者:行者123 更新时间:2023-12-04 23:26:51 33 4
gpt4 key购买 nike

所以我在一个名为 tunnel-agent 的包中有一个漏洞.运行后npm audit列出了依赖于这个包的包:

  • gatsby-plugin-sharp

  • 好的,很好,我更新了这个,一切都好吗? NO.. 仍然列为易受攻击,所以现在我开始寻找这会导致什么的兔子洞。

    运行 npm list tunnel-agent我要找出谁依赖这个包。

    tunnel-agent

    因此,现在该漏洞已在 tunnel-agent@0.6.0 中修复。但我有一件事说它正在使用 tunnel-agent@0.4.3 .但这是在同一个包中 gatsby-plugin-sharp那么为什么它没有修复呢?

    我前往 github 问题,发现因为 gatsby-plugin-sharp使用 imagemin-mozjpeg > caw@1.2.0 > tunnel-agent@0.4.3我还是卡住了吧?

    所以我要问的是,在不依赖插件作者更新他们的依赖关系的情况下,你将如何使用 caw@2.0.1然后使用 tunnel-agent@0.6.0彻底消除这个漏洞?

    最佳答案

    这都是环境变量。
    但是您可以 fork 尚未合并发布的开放拉取请求。然后创建具有修复程序的 on npm 包。
    https://github.com/request/tunnel-agent/pull/45
    yarn 否定了这些错误。

    而“ yarn ”则不存在这些问题。因为它是为本地范围设计的。

    关于npm - 了解 NPM 漏洞 - 隧道代理,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53499756/

    33 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com