基本上,我有一个 Node 项目,最近 github 在我的一个依赖项中标记了一个潜在的安全漏洞。
它的 cryptiles 是 3.1.2 版,建议我转到 4.1.2 版。
Cryptiles 在我的 package-lock.json
中,但我目前没有在我的 package.json
中安装它,也没有在我的项目中的任何地方使用它。
我从来没有只使用 package-lock.json,我试图更改那里的版本,但是当我运行 npm install 时,它又改回来了。解决方案?
升级 Node 会解决吗?我的 npm 模块之一?由于我的项目中没有使用它,我应该忽略它吗?想确保我是安全的。
这是我的 package-lock.json
和 cryptiles
中的两个部分,我的 hawk
中没有安装 that 和 package.json
},
"cryptiles": {
"version": "3.1.2",
"resolved": "https://registry.npmjs.org/cryptiles/-/cryptiles-3.1.2.tgz",
"integrity": "sha1-qJ+7Ig9c4l7FboxKqKT9e1sNKf4=",
"requires": {
"boom": "5.2.0"
},
和这里:
},
"hawk": {
"version": "6.0.2",
"resolved": "https://registry.npmjs.org/hawk/-/hawk-6.0.2.tgz",
"integrity": "sha512-miowhl2+U7Qle4vdLqDdPt9m09K6yZhkLDTWGoUiUzrQCn+mHHSmfJgAyGaLRZbPmTqfFFjRV1QWCW0VWUJBbQ==",
"requires": {
"boom": "4.3.1",
"cryptiles": "3.1.2",
"hoek": "4.2.1",
"sntp": "2.1.0"
},
感谢任何帮助和任何可以帮助我了解情况的人,以免再次发生这种情况。
最佳答案
npm ls {module name} 将允许您查看依赖关系树。更新父依赖通常会修复传递依赖(依赖的依赖)。
如果您需要强制依赖版本,本文可能会有所帮助。
https://www.npmjs.com/package/npm-force-resolutions
关于javascript - Github 说我在 package-lock (cryptiles) 中有一个 Node 安全漏洞,但它没有安装在 package.json 中,我没有使用它,解决方案?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/52571521/