Как исправить уязвимости в npm?

При установке пакетов всегда показывает уязвимости.

Я новичок в использовании React и столкнулся с некоторыми проблемами, связанными с npm. Не могли бы вы дать четкую инструкцию, как их исправить? Я не очень хорошо знаком с npm, поэтому буду благодарен за любую помощь.

В выводе содержатся некоторые инструкции по устранению уязвимостей. Что вы пробовали?

Drew Reese 10.05.2024 17:29

Вам, вероятно, не следует. См. stackoverflow.com/questions/51377148/…

Estus Flask 10.05.2024 17:39

Я вижу, что выходные данные содержат некоторые инструкции по устранению уязвимостей. Я новичок в этом и не знаю, какие шаги предпринять. Должен ли я начать с «фонда npm», затем «исправления аудита npm» и, наконец, «исправления аудита npm --force»? Спасибо за помощь!

NSS Weerasinghe 10.05.2024 17:45

Если есть уязвимости, повлияют ли они на работу моего приложения? Должен ли я беспокоиться о том, что они повлияют на текущий процесс?

NSS Weerasinghe 10.05.2024 17:53
npm fund, нет, это «реклама» пакетов о том, что они хотели бы, чтобы ваше пожертвование было проявлением поддержки. Используйте npm audit fix, чтобы исправить то, что можно исправить. Не используйте флаг --force, так как при этом будет обновлено все, включая более новые версии с возможными/вероятными критическими изменениями. Я думаю, что большинство разработчиков «ослепли» на эти предупреждения, и, если пакет успешно установлен, вам, вероятно, можно приступать к работе.
Drew Reese 10.05.2024 18:06

@NSSWeerasinghe Это очень редко случается с внешними проектами, но когда они есть, они есть. См. связанный вопрос. Вы несете ответственность за различение реальных уязвимостей и тех, которые не могут сделать приложение уязвимым даже теоретически, включая учет способов их использования в вашем проекте.

Estus Flask 10.05.2024 18:57
node.js npm npm-install
10.05.2024 17:25
Стоит ли изучать PHP в 2026-2027 годах?
Стоит ли изучать PHP в 2026-2027 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
1
6
104
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Сначала следует попробовать рекомендуемые действия по выходу. Всякий раз, когда вывод консоли говорит вам что-то сделать, вы должны это сделать.

Пытаться: npm audit fix и если это не сработает, попробуй npm audit fix --force

Но помните, Bootstrap и React — это большие пакеты со множеством зависимостей. Если вы не работаете в крупной компании, которая заботится о безопасности данных, для вашего проекта ничего страшного, если все компоненты работают как положено.

Если вас беспокоят уязвимости, обратитесь к https://docs.npmjs.com/auditing-package-dependents-for-security-vulnerabilities для получения дополнительной информации об устранении уязвимостей.

10.05.2024 18:01

Другие вопросы по теме

Ошибка установки Npm. Ошибка: EACCES: разрешение отклонено
Ошибка при установке «imagemin-mozjpeg» в macOS: npm ERR! спавн Неизвестная системная ошибка -86 | НПМ ОШИБКА! Проверка предварительной сборки mozjpeg не удалась
Не могу установить @types/node с помощью docker. Запустите внутри файла docker
Проблема с «TypeError: невозможно прочитать свойство useState со значением null» в библиотеке React — создание пакета NPM
React Js головоломка «Сопоставь пары в 2 столбца»
Проект NPM Workspace с Vite, устраняющий необходимость в папке dist в сборке Vite
Есть ли способ использовать npm с прямым исходным кодом, а не с минимизированным/связанным кодом?
Пользовательские фрагменты в AstroJS
Как использовать частный пакет и общедоступный пакет npm в качестве прокси с помощью AWS Codeartifact
Получение npm ERR! код ENOMEM при попытке установить npm в проекте ремикса

Похожие вопросы

Найдите или разверните изображение titleArea страницы Sharepoint — Microsoft Graph API
Ошибка установки Npm. Ошибка: EACCES: разрешение отклонено
Использование клиента Trino с внешней аутентификацией вместо BasicAuth
Ошибка при установке «imagemin-mozjpeg» в macOS: npm ERR! спавн Неизвестная системная ошибка -86 | НПМ ОШИБКА! Проверка предварительной сборки mozjpeg не удалась
Почему (1 + Number.MIN_VALUE) равно 1?
Невозможно отправить запрос на запуск образа Docker. Ошибка сокета зависает в почтальоне. В браузере localhost не отправлял никаких данных
Ошибка API Upwork — Предупреждение: 299 Доступ к API с неверным ключом
Vue Невозможно прочитать свойства неопределенного значения (чтение «0»)
Как получить доступ к базе данных RDS MySQL с помощью Nodejs с аутентификацией IAM
Ошибка fluent-ffmpeg с форматом вывода MP3 при потоковой передаче аудио в Node.js