lodash-cliin
devDependencies不会影响
browser-sync项目的工作方式,
devDependencies将软件包作为依赖项安装时将被忽略。
什么
audit报告说的是,这是
easy-extender有
lodash依赖性:
browser-sync > easy-extender > lodash
它取决于Lodash 3,而该问题已在Lodash 4中得到解决。可以通过分叉
easy-extender,更新和安装它(而不是NPM公共注册表中的软件包)来解决此问题。但是这种依赖性没有真正的问题。
audit报告重要性应手动评估。即使嵌套的依赖项具有安全风险,也并不意味着已使用引入此风险的功能。这也不意味着即使使用它,也会由于使用方式而带来实际风险。
browser-sync是未在生产中使用的开发工具,没有太多可以利用其漏洞的方案。和 原型污染
是不是所有漏洞,只是一个通知,一包不遵循良好的做法,可以忽略不计。
通常,这是修复报告的漏洞的方法:
- 做一个健全性检查
- 万一这是一个真正的问题,请检查易受攻击软件包的存储库中是否存在现有问题 和 PR
- 如果没有,请提交问题
- 分叉存储库或使用现有PR作为git依赖项,直到在NPM版本中对其进行修复
- 如果嵌套了依赖项,请在多个嵌套级别上执行此操作
多数情况下,预计您不会超越健全性检查标准。
patch-package可以帮助就地修补嵌套的依赖关系,但这不会影响
audit报告。
