私が実行npm install
すると、それは言いfound 33 vulnerabilities (2 low, 31 moderate)
run `npm audit fix` to fix them, or `npm audit` for details
ます。
ただし、npm audit fix
出力up to date in 11s
fixed 0 of 33 vulnerabilities in 24653 scanned packages
33 vulnerabilities required manual review and could not be updated
それはないreview
、ユーザによって固定されるように想定されていない意味ですか?
実行するnpm audit
と、次のようなテーブルのリストが表示されます。
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ browser-sync [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ browser-sync > easy-extender > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577 │
└───────────────┴──────────────────────────────────────────────────────────────┘
この例では、リンクされたページの修復セクションにUpdate to version 4.17.5 or later.
。ただし、次の/node_modules/browser-sync/package.json
行があります。
"devDependencies": {
"lodash-cli": "4.17.5",
}
そして、これ以上のlodash依存関係はありません。したがって、すでにv4.17.5になっているはずです。/node_modules/lodash/lodash.json
どちらにvar VERSION = '4.17.10';
線があるかも確認しました。では/node_modules/lodash/package.json
、これらの線があります。
"_from": "lodash@^4.17.4",
"_id": "lodash@4.17.10",
バージョンは「_from」ではなく「_id」に表示されていると思います。バージョンは正しいですが、脆弱性は引き続き監査リストに表示されます。
私はまだnode.jsを初めて使用しているので、これらのメッセージは私を混乱させます。手動で修正したり、これらのメッセージを削除したりする方法はありますか?何もできませんか?