NPM-AUDIT 发现高漏洞。我应该做些什么?
NPM-AUDIT find to high vulnerabilities. What am I supposed to do?
npm audit 运行 在我的项目上得到了这个
High Command Injection
Dependency of @angular-devkit/build-angular [dev]
Path @angular-devkit/build-angular > @ngtools/webpack >
tree-kill
More info https://npmjs.com/advisories/1432
High Command Injection
Package tree-kill
Patched in >=1.2.2
Dependency of @angular-devkit/build-angular [dev]
Path @angular-devkit/build-angular > tree-kill
More info https://npmjs.com/advisories/1432
Tree-kill 需要更新,但属于 angular,不是我的。所以呢?需要等待 angular-team 更新自己的 package.json 到更新版本的 tree-kill?
我也遇到了这个问题,经过一些研究,我发现了一些东西:
当然,这是关于另一个问题的,但是通过调整那里给出的解决方案,它解决了我的问题。
所以:
- 删除tree-kill的node_modules文件夹
- 编辑 package-lock.json 文件就像完成一样,但使用 tree-kill 模块代替。
- 别忘了在最后 运行 npm install
希望我说得够清楚了。
检查 GitHub 存储库以查看是否正在修复。我发现了这个问题:https://github.com/angular/angular-cli/issues/16629 and a pull request (https://github.com/angular/angular-cli/pull/15894) 删除了依赖关系。
我今天遇到了同样的问题,我通过以下方式解决了这个问题:
- 从 node_modules 文件夹中删除 tree-kill 包。
- 删除包-lock.json文件。
- 进入node_modules文件夹中的@angular-devkit/build-angular文件夹,编辑package.json文件;将 tree-kill 版本从 1.2.1 更改为 1.2.2
- 转到node_modules文件夹中的@ngtools/webpack文件夹,并执行与步骤3相同的操作。
运行 npm install 之后。
您可以修复此问题而无需等待新版本的软件包 @angular-devkit/build-angular。
只需执行以下步骤:
- 更新您的
package.json 文件,添加 resolutions 包含正确版本包的部分 tree-kill:
"resolutions": {
"tree-kill": "1.2.2"
}
- 通过 运行 命令更新您的
package-lock.json:
npx npm-force-resolutions
- 在您的项目中重新安装 NPM 包:
rm -r node_modules
npm install
运行 npm audit 确认你的项目已经没有这个问题了。并且不要忘记提交修改后的文件 package.json 和 package-lock.json.
有关 NPM Force Resolutions 的更多信息。
从 node_modules 文件夹中删除 tree-kill 包并删除
包-lock.json 文件。
寻找@angular-devkit/build-angular
node_modules 文件夹中的文件夹并编辑 package.json 文件;
将 tree-kill 版本从 1.2.1 更改为 1.2.2
查找@ngtools/webpack
在 node_modules 文件夹中编辑 package.json 文件;
将 tree-kill 版本从 1.2.1 更改为 1.2.2
- 运行 npm 安装。
将以下代码添加到 package.json
"resolutions": {
"tree-kill":"1.2.2"
}
删除所有节点模块:
rm -r node_modules
更新包-lock.json 新版本 1.2.2 为 :
npx npm-force-resolutions
现在安装节点模块:
npm install
这对我有用。
将 package.json 中的@angular-devkit/build-angular 版本更新到以下:
"@angular-devkit/build-angular": "0.13.10"
对我有用。
npm audit 运行 在我的项目上得到了这个
High Command Injection
Dependency of @angular-devkit/build-angular [dev]Path @angular-devkit/build-angular > @ngtools/webpack > tree-kill
More info https://npmjs.com/advisories/1432
High Command Injection
Package tree-kill
Patched in >=1.2.2
Dependency of @angular-devkit/build-angular [dev]
Path @angular-devkit/build-angular > tree-kill
More info https://npmjs.com/advisories/1432
Tree-kill 需要更新,但属于 angular,不是我的。所以呢?需要等待 angular-team 更新自己的 package.json 到更新版本的 tree-kill?
我也遇到了这个问题,经过一些研究,我发现了一些东西:
当然,这是关于另一个问题的,但是通过调整那里给出的解决方案,它解决了我的问题。
所以:
- 删除tree-kill的node_modules文件夹
- 编辑 package-lock.json 文件就像完成一样,但使用 tree-kill 模块代替。
- 别忘了在最后 运行 npm install
希望我说得够清楚了。
检查 GitHub 存储库以查看是否正在修复。我发现了这个问题:https://github.com/angular/angular-cli/issues/16629 and a pull request (https://github.com/angular/angular-cli/pull/15894) 删除了依赖关系。
我今天遇到了同样的问题,我通过以下方式解决了这个问题:
- 从 node_modules 文件夹中删除 tree-kill 包。
- 删除包-lock.json文件。
- 进入node_modules文件夹中的@angular-devkit/build-angular文件夹,编辑package.json文件;将 tree-kill 版本从 1.2.1 更改为 1.2.2
- 转到node_modules文件夹中的@ngtools/webpack文件夹,并执行与步骤3相同的操作。
运行 npm install 之后。
您可以修复此问题而无需等待新版本的软件包 @angular-devkit/build-angular。
只需执行以下步骤:
- 更新您的
package.json文件,添加resolutions包含正确版本包的部分tree-kill:
"resolutions": {
"tree-kill": "1.2.2"
}
- 通过 运行 命令更新您的
package-lock.json:
npx npm-force-resolutions
- 在您的项目中重新安装 NPM 包:
rm -r node_modules
npm install
运行 npm audit 确认你的项目已经没有这个问题了。并且不要忘记提交修改后的文件 package.json 和 package-lock.json.
有关 NPM Force Resolutions 的更多信息。
从 node_modules 文件夹中删除 tree-kill 包并删除
包-lock.json 文件。寻找@angular-devkit/build-angular node_modules 文件夹中的文件夹并编辑 package.json 文件; 将 tree-kill 版本从 1.2.1 更改为 1.2.2
查找@ngtools/webpack 在 node_modules 文件夹中编辑 package.json 文件; 将 tree-kill 版本从 1.2.1 更改为 1.2.2- 运行 npm 安装。
将以下代码添加到 package.json
"resolutions": {
"tree-kill":"1.2.2"
}
删除所有节点模块:
rm -r node_modules
更新包-lock.json 新版本 1.2.2 为 :
npx npm-force-resolutions
现在安装节点模块:
npm install
这对我有用。
将 package.json 中的@angular-devkit/build-angular 版本更新到以下:
"@angular-devkit/build-angular": "0.13.10"
对我有用。