deep-extend 0.5.1 有已知漏洞
deep-extend 0.5.1 has known vulnerabilities
你能帮我解决这个问题吗?
当我通过 npm audit 审核时。它注意到 deep-extend 0.5.1 存在已知漏洞
在包-lock.json中,我可以找到问题的根源
electron-builder > package-json > registry-url > rc > deep-extend
我在 devDependencies
中使用最新版本的 electron-builder
"devDependencies": {
"electron": "2.0.2",
"electron-builder": "20.14.7",
"electron-devtools-installer": "2.2.4",
"foreman": "3.0.0"
}
谁能帮我忽略上面的审计?非常感谢
如果 electron-builder 依赖于 latest deep-extend 和 latest deep-extend 有漏洞并且你关心,你就有麻烦了,有 3 个选择。
- 向维护者报告此问题,希望在您发布之前解决此问题。
- 自己解决这个问题,向 deep-extend 发出 pull request,希望他们在你发布之前接受它。
- fork 深度扩展,electron-builder,修补它们,在 npm 上发布。比在他们解决问题时切换。这是最难的方法。
如果 electron-builder 依赖于而不是最新的 deep-extend,您可以将适当的 deep-extend 版本添加到您的 package.json,electron 将尝试使用它。
不确定这对你有多大帮助。
你能帮我解决这个问题吗?
当我通过 npm audit 审核时。它注意到 deep-extend 0.5.1 存在已知漏洞
在包-lock.json中,我可以找到问题的根源
electron-builder > package-json > registry-url > rc > deep-extend
我在 devDependencies
中使用最新版本的 electron-builder"devDependencies": {
"electron": "2.0.2",
"electron-builder": "20.14.7",
"electron-devtools-installer": "2.2.4",
"foreman": "3.0.0"
}
谁能帮我忽略上面的审计?非常感谢
如果 electron-builder 依赖于 latest deep-extend 和 latest deep-extend 有漏洞并且你关心,你就有麻烦了,有 3 个选择。
- 向维护者报告此问题,希望在您发布之前解决此问题。
- 自己解决这个问题,向 deep-extend 发出 pull request,希望他们在你发布之前接受它。
- fork 深度扩展,electron-builder,修补它们,在 npm 上发布。比在他们解决问题时切换。这是最难的方法。
如果 electron-builder 依赖于而不是最新的 deep-extend,您可以将适当的 deep-extend 版本添加到您的 package.json,electron 将尝试使用它。
不确定这对你有多大帮助。