Как исправить уязвимость в зависимостях npm?
Я получил 18 уязвимостей, дав npm audit, затем выбрал ту, которая помечена как высокая.
вот его деталь,
High Denial-of-Service Memory Exhaustion
Package qs
Patched in >= 1.x
Dependency of google-search-scraper
Path google-search-scraper > request > qs
More info https://nodesecurity.io/advisories/29
похоже, что нам нужно обновить пакет запроса, поэтому по >npm i request
я его установил.
Теперь, что дальше, команда аудита снова дает те же результаты
пожалуйста помоги ,
Спасибо
РЕДАКТИРОВАТЬ
Moderate Prototype pollution
Package hoek
Patched in > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of botkit
Path botkit > botbuilder > jsonwebtoken > joi > hoek
More info https://nodesecurity.io/advisories/566
Это связано: youtube.com/watch?v=0dgmeTy7X3I Если я правильно помню, докладчик упоминает саму интересующую уязвимость qs, хотя не говорит, как ее исправить.
да, но это не сработало. На самом деле у нас 18 различных уязвимостей
Ответы 1
Как говорится в отчете, уязвимость qs была исправлена в 1.x. Для последних версий request это не проблема. google-search-scraper имеет зависимость от request@~2.33.0, которая зависит от qs@~0.6.0. Независимо от того, какая версия request установлена в проекте, google-search-scraper продолжит использовать версию 2.33.x, содержащую уязвимость.
google-search-scraper должен быть разветвлен и использоваться вместо исходного пакета, версия зависимости request должна быть обновлена в вилке, например к request@^2.33.0. Дополнительно выпуск можно открыть в репозитории пакетов и дополнить PR.
спасибо за ответ, хорошо, это не проблема версии, тогда в чем проблема,
Я уже разветвил и клонировал проект (который использует парсер поиска Google), так что теперь, как мне это сделать.
Проблема в том, что google-search-scraper испорчен и жестко запрограммирован для использования уязвимой версии request. В данном контексте не имеет значения, является ли это вашим собственным проектом или разветвленным. Вам нужно специально форкнуть google-search-scraper и использовать его вместо официального.
Я отредактировал вопрос, указав еще на одну уязвимость, это, должно быть, проблема с версией, я установил ее с помощью> npm, я думаю, но она все равно не работает. пожалуйста, помогите, я никогда раньше не работал над этим
Это не уязвимость. Выполняйте проверку работоспособности при оценке отчетов npm audit. См. stackoverflow.com/a/51852121/3731501. В любом случае, не стесняйтесь открывать проблемы в пакетах, которые вызывают проблемы аудита, если они возникают в последней версии пакета.
как сделать проверку работоспособности при проведении аудита npm, я не знал об этом, спасибо, что рассказали
Просто проверьте, что на самом деле представляет собой заявленная «уязвимость», откуда она взялась и может ли она вообще повлиять на ваше приложение - напрямую или через вложенные зависимости. аудит - это грубый инструмент, который создает много шума, который не нужно исправлять в большинстве случаев, особенно проблемы, помеченные как «умеренные» или ниже.
Вы пробовали использовать
npm audit fix?