Нужна помощь в понимании хэшей в выводе `npm audit`
в моем выводе npm audit я увидел следующую запись с хешем:
├───────────────┼─────────────────────────────────────────┤
│ Path │ 050fb87979f5c6895917ef26a696d57ebf3cf1… │
│ │ > mocha > growl │
├───────────────┼─────────────────────────────────────────┤
Могу ли я узнать, что означает хэш и где найти узел дерева зависимостей, который он представляет? Я поискал в Интернете и просмотрел свой файл package-lock.json, но не смог его найти.
Спасибо!
Ответы 2
Каким-то образом я смог понять это вскоре после публикации, используя npm ls growl. Это показывает, что хеш представляет собой внутренний пакет. (Непонятная часть заключается в том, что некоторые внутренние пакеты отображались по имени пакета в выводе npm audit, а некоторые отображались как хэши. | Обновление: оказывается, что мы импортируем какой-то пакет напрямую через их git commit, в этом случае эти зависимости отображаются как хеши.)
Возможно ли это для MVCE?
Я столкнулся с той же проблемой. Проблема заключается в том, чтобы скрыть имя пакета из соображений безопасности. После изучения npm docs это было решено в Версии 7. Я только что запустил аудит npm, используя npm 7+, и он указал на точные пакеты, которые являются виновниками, без хеша.
Это связано с проблемой в github.com/npm/npm/issues/20739 - я не знаю, как
npm auditвычисляет этот хэш, поскольку он не совпадает с фактическим хешем используемой фиксации, и это затрудняет аудит кода без большого количества ручных командnpm ls <module-name>.