NPM-AUDIT encontra altas vulnerabilidades. O que eu deveria fazer?

13

npm audit executar no meu projeto e me trouxe isso


Dependência de injeção de alto comando de @ angular-devkit / build-angular [dev]

Diretório @ angular-devkit / build-angular> @ ngtools / webpack> tree-kill

Mais informações https://npmjs.com/advisories/1432

Injeção de alto comando

Pacote matança em árvore

Remendado em> = 1.2.2

Dependência de @ angular-devkit / build-angular [dev]

Diretório @ angular-devkit / build-angular> abate de árvores

Mais informações https://npmjs.com/advisories/1432

O abate de árvores precisa ser atualizado, mas é um dep de angular, não meu. E daí? Precisa esperar que a equipe angular atualize seu próprio package.json para uma versão mais recente do tree-kill?

Nemus
fonte

Respostas:

11

Você pode corrigir isso sem esperar por uma nova versão do pacote @angular-devkit/build-angular.

Basta seguir os seguintes passos:

  1. Atualize seu package.jsonarquivo adicionando a resolutionsseção com a versão adequada do pacote tree-kill:
"resolutions": {
  "tree-kill": "1.2.2"
}
  1. Atualize seu package-lock.jsonexecutando o comando:
npx npm-force-resolutions
  1. Reinstale os pacotes NPM no seu projeto:
rm -r node_modules
npm install

Execute npm auditpara verificar se o seu projeto não possui mais esse problema. E não esqueça de confirmar arquivos modificados package.jsone package-lock.json.

Mais informações sobre as resoluções de força do NPM .

Yuri Beliakov
fonte
11

Eu estava com o mesmo problema hoje e o corrigi:

  1. exclua o pacote tree-kill da pasta node_modules.
  2. exclua o arquivo package-lock.json.
  3. vá para a pasta @ angular-devkit / build-angular na pasta node_modules e edite o arquivo package.json; alterar a versão do kill-tree de 1.2.1 para 1.2.2
  4. vá para a pasta @ ngtools / webpack na pasta node_modules e faça o mesmo que na etapa 3.

execute o npm install depois disso.

saleem
fonte
11
Então, com essa correção, tenho que manter a pasta node_modules com o Git, certo?
Loki
Não tenho certeza se a sua pergunta foi correta, mas você precisa confirmar as novas alterações após a nova instalação.
salesem 13/01
11
editar manualmente suas dependências não é uma boa ideia, pois fazer uma nova instalação do projeto representará o problema
Nemus
2

Eu também tive esse problema e depois de algumas pesquisas, encontrei algo:

O NPM lança erro na "correção de auditoria" - o registro configurado não é suportado

Claro, trata-se de um outro problema, mas, ao adaptar a solução fornecida, ele resolveu o meu problema.

Assim :

  • Exclua a pasta node_modules do tree-kill
  • Edite o arquivo package-lock.json como foi feito, mas com o módulo tree-kill.
  • Não se esqueça de executar o npm install no final

Espero ter sido claro o suficiente.

arquelite
fonte
Como eu poderia editar o package-lock.json na segunda etapa se deveria ser excluído ao excluir a pasta node_modules de tree-kill na etapa 1?
Mauricio Martinez
0
  1. Remova o pacote tree-kill da pasta node_modules e exclua
    o arquivo package-lock.json.

  2. Localize a pasta @ angular-devkit / build-angular na pasta node_modules e edite o arquivo package.json; altere a versão tree-kill de 1.2.1 para 1.2.2
    Encontre @ ngtools / webpack na pasta node_modules e edite o arquivo package.json; alterar a versão do tree-kill de 1.2.1 para 1.2.2

  3. execute a instalação do npm.
sam0606
fonte
0

Adicione o código abaixo ao package.json

"resolutions": {
"tree-kill":"1.2.2"
}

Remova todos os módulos do nó:

rm -r node_modules

Atualize o package-lock.json para a nova versão 1.2.2 como:

npx npm-force-resolutions

Agora instale os módulos do nó:

npm install

Isso funciona para mim.

rohit
fonte