使用 Vue 时是否应该担心 NPM 漏洞?
Should I be concerned about NPM vulnerabilities when using Vue?
我刚刚安装了 @Vue-cli,我决定使用 Vue3 创建我的第一个项目。
在 运行 vue create hello-world 完成项目构建后,cli 说
7 moderate severity vulnerabilities
这些有多糟糕? moderate 非常主观。我试过 运行 npm audit fix --force 而不是说
28 vulnerabilities (16 moderate, 12 high).
这只是您应该接受并希望没有人利用这些漏洞的事情之一吗?
在 运行 npm audit 之后它说了这个
# npm audit report
ansi-regex >2.1.1 <5.0.1
Severity: moderate
Inefficient Regular Expression Complexity in chalk/ansi-regex - https://github.com/advisories/GHSA-93q8-gq69-wqmw
fix available via `npm audit fix --force`
Will install @vue/cli-service@4.5.17, which is a breaking change
node_modules/log-update/node_modules/ansi-regex
strip-ansi 4.0.0 - 5.2.0
Depends on vulnerable versions of ansi-regex
node_modules/log-update/node_modules/strip-ansi
string-width 2.1.0 - 4.1.0
Depends on vulnerable versions of strip-ansi
node_modules/log-update/node_modules/string-width
wrap-ansi 3.0.0 - 6.1.0
Depends on vulnerable versions of string-width
Depends on vulnerable versions of strip-ansi
node_modules/log-update/node_modules/wrap-ansi
log-update 2.1.0 - 3.4.0
Depends on vulnerable versions of wrap-ansi
node_modules/log-update
progress-webpack-plugin *
Depends on vulnerable versions of log-update
node_modules/progress-webpack-plugin
@vue/cli-service >=5.0.0-alpha.0
Depends on vulnerable versions of progress-webpack-plugin
node_modules/@vue/cli-service
在我看来,这一切都归结为 Inefficient Regular Expression Complexity in chalk/ansi-regex。
处理这个问题的正确方法是什么?顺其自然还是像更新包一样简单?
除了我的其他回答之外,我还要补充一点,现在一切都是可以破解的。这是一个问题 per-se 吗?不是真的,因为你不是真的在发射火箭。
很恐怖吗?是的,也许是因为它听起来的样子,但最后,如果您公司中有人打开网络钓鱼电子邮件,您就会暴露,所以是的:过好自己的生活,不要太担心它。
另外,提醒一下:您安装的每个软件包在某些时候和各个步骤中都可能是恶意的。如果您想要 100% bullet-proof 代码库,则需要自己从下到上编写所有内容。
我刚刚安装了 @Vue-cli,我决定使用 Vue3 创建我的第一个项目。
在 运行 vue create hello-world 完成项目构建后,cli 说
7 moderate severity vulnerabilities
这些有多糟糕? moderate 非常主观。我试过 运行 npm audit fix --force 而不是说
28 vulnerabilities (16 moderate, 12 high).
这只是您应该接受并希望没有人利用这些漏洞的事情之一吗?
在 运行 npm audit 之后它说了这个
# npm audit report
ansi-regex >2.1.1 <5.0.1
Severity: moderate
Inefficient Regular Expression Complexity in chalk/ansi-regex - https://github.com/advisories/GHSA-93q8-gq69-wqmw
fix available via `npm audit fix --force`
Will install @vue/cli-service@4.5.17, which is a breaking change
node_modules/log-update/node_modules/ansi-regex
strip-ansi 4.0.0 - 5.2.0
Depends on vulnerable versions of ansi-regex
node_modules/log-update/node_modules/strip-ansi
string-width 2.1.0 - 4.1.0
Depends on vulnerable versions of strip-ansi
node_modules/log-update/node_modules/string-width
wrap-ansi 3.0.0 - 6.1.0
Depends on vulnerable versions of string-width
Depends on vulnerable versions of strip-ansi
node_modules/log-update/node_modules/wrap-ansi
log-update 2.1.0 - 3.4.0
Depends on vulnerable versions of wrap-ansi
node_modules/log-update
progress-webpack-plugin *
Depends on vulnerable versions of log-update
node_modules/progress-webpack-plugin
@vue/cli-service >=5.0.0-alpha.0
Depends on vulnerable versions of progress-webpack-plugin
node_modules/@vue/cli-service
在我看来,这一切都归结为 Inefficient Regular Expression Complexity in chalk/ansi-regex。
处理这个问题的正确方法是什么?顺其自然还是像更新包一样简单?
除了我的其他回答之外,我还要补充一点,现在一切都是可以破解的。这是一个问题 per-se 吗?不是真的,因为你不是真的在发射火箭。
很恐怖吗?是的,也许是因为它听起来的样子,但最后,如果您公司中有人打开网络钓鱼电子邮件,您就会暴露,所以是的:过好自己的生活,不要太担心它。
另外,提醒一下:您安装的每个软件包在某些时候和各个步骤中都可能是恶意的。如果您想要 100% bullet-proof 代码库,则需要自己从下到上编写所有内容。