Фу. У меня так много репозиториев, потому что я сделал так много небольших руководств, когда готовился к Hack Reactor. Теперь я расплачиваюсь всеми этими электронными письмами.
Вот как я устранил эти дыры в безопасности в своих старых репозиториях:
- git clone ‹repo›; компакт-диск ‹repo›
- rm -rf node_modules && npm update — save-dev
&& npm update — save ; исправление аудита npm; нпм я; - Аудит нпм**
- git commit -am «[Patch] — исправить уязвимости в системе безопасности»; git push origin ‹ветка›
- * Возможны некоторые критические изменения. Используйте — принудительно, если вы достаточно уверены, чтобы справиться с этими обновлениями библиотеки.
Второй шаг — это много. Вот быстрый разбор.
- npm update: Эта команда обновит все перечисленные пакеты до последней версии (указанной тегом config) с учетом semver. Он также установит недостающие пакеты. Как и во всех командах, устанавливающих пакеты, флаг —dev также вызывает обработку devDependencies. (https://docs.npmjs.com/cli/update)
- Исправление аудита npm: Сканируйте свой проект на наличие уязвимостей и автоматически устанавливайте любые совместимые обновления для уязвимых зависимостей. (https://docs.npmjs.com/cli/audit)
- удалите модуль узла и переустановите его только для проверки работоспособности.
- Аудит npm: показывает разбивку любых проблем с низким, средним или высоким уровнем, оставшихся в вашем репо.
Надеюсь, это поможет.
