我有一个开发博客,我看到了14个安全警报,其中一些有高严重性、关键严重性和中等严重性。
所以,我运行了 npm audit
看到问题,它给我 这个.
found 1403 vulnerabilities (792 low, 17 moderate, 592 high, 2 critical) in 27197 scanned packages
run `npm audit fix` to fix 1392 of them.
11 vulnerabilities require manual review. See the full report for details.
那么,我应该怎么做。npm audit fix
? 你是如何处理这个问题的?
例如,在报告中,我有这样的东西。
Low Validation Bypass
Package kind-of
Dependency of gatsby-source-filesystem
Path gatsby-source-filesystem > chokidar > readdirp > micromatch
> kind-of
More info https://npmjs.com/advisories/1490
现在,我如何解决这个问题?
你可以按照帮助文档中的说明来解决安全漏洞。https:/help.github.comengithubmanaging-security-vulnerabilitiesabout-security-alerts-for-vulnerable-dependencies#investigating-and-resolving-a-vulnerability-in-a-dependency。一旦修复(或任何更改)被合并到默认分支(无论该分支在您的仓库中被命名为什么),GitHub将安排对您的项目的依赖性进行新的扫描。在这之后,漏洞警报应该会消失。检查的分支集是不可配置的。