node.js - node - Cómo deshacerse de las vulnerabilidades ''hoek''
node lts (3)
Debería ejecutar rm package-lock.json && npm update && npm install , si esto todavía no soluciona su problema, puede continuar ejecutando npm ls hoek , que debería proporcionarle:
├─┬ [email protected]
│ └─┬ [email protected]
│ └─┬ [email protected]
│ ├─┬ [email protected]
│ │ └── [email protected]
│ ├── [email protected]
│ └─┬ [email protected]
│ └── [email protected]
└── [email protected]
Verifique la versión de hawk contra la de npm hawk , si no cuenta, ejecute npm i hawk --save o npm i hoek@latest --save , entonces también debería ejecutar: npm i karma@latest --save , luego npm audit Después de lo cual volví a ejecutar mis comandos git normales:
git add .
git commit -m ''whatever_message''
git push
Luego, puede volver a Github, la vulnerabilidad de seguridad debe ser corregida.
Recientemente envié una aplicación de Angular CLI 5 a GitHub e indicó lo siguiente:
We found a potential security vulnerability in one of your dependencies.
A dependency defined in net-incident/package-lock.json has known security vulnerabilities and should be updated.
Dependencies defined in net-incident/package-lock.json 816
hapijs / hoek Known security vulnerability in 2.16.3
He revisado el resultado de ''npm audit'' y ejecuté varias actualizaciones, incluidas las siguientes (que no se sugirieron):
npm install --save-dev [email protected]
El paquete ''request'' contiene ''hawk'' que contiene ''hoek''. Cuando miro el paquete de ''solicitud'' en node_modules, la versión ha cambiado. Pero las siguientes dos actualizaciones de ''npm audit'' no parecen hacer nada:
fsevents npm update --depth 4 npm update stringstream --depth 5
Y me quedo con lo siguiente:
[!] 33 vulnerabilities found [12201 packages audited]
Severity: 5 Low | 24 Moderate | 4 High
Run `npm audit` for more detail
Y muchas de las vulnerabilidades son como las siguientes:
Moderate Prototype pollution
Package hoek
Patched in > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of karma
Path karma > log4js > loggly > request > hawk > boom > hoek
More info https://nodesecurity.io/advisories/566
Al final, la aplicación no se compilaba, así que reemplacé el paquete y los archivos de bloqueo, y ahora estoy de vuelta al principio. Tengo muchas ganas de solucionar los problemas de seguridad. ¿Cómo me deshago de las molestas vulnerabilidades ''hoek''?
Fui paciente y solucionaron el problema:
npm update karma@latest
Deberia trabajar.
Esta respuesta aborda el problema hoek similar, y esta respuesta explica en detalle los informes de auditoría de no vulnerabilidad.
npm audit informa posibles problemas. Es innecesario que sean problemas reales que deban resolverse.
Una dependencia anidada como karma > log4js > loggly > request > hawk > boom > hoek puede requerir que se karma > log4js > loggly > request > hawk > boom > hoek numerosos paquetes en la cadena de dependencia en caso de que tenga que ser reparado.
Prototype pollution diagnóstico de Prototype pollution indica el olor del código. La razón por la que la contaminación prototipo huele es que puede causar problemas de seguridad. Esta es la razón por la que está etiquetado como Moderate . Es poco probable que cause riesgos de seguridad en el paquete hoek debido a su funcionamiento, independientemente de cómo se use el paquete (eso también es importante).
Además, karma > log4js > loggly > request > hawk > boom > hoek cadena de dependencia karma > log4js > loggly > request > hawk > boom > hoek significa que el problema se produce en la dependencia del desarrollo. La mayoría de los problemas de seguridad se aplican principalmente a las dependencias que se utilizan en la producción. Este problema es específico para las pruebas y el karma. Es virtualmente imposible es una amenaza.
TL; DR: esto no es una vulnerabilidad . Tiene que ser ignorado. Cualquier informe de npm audit debe pasar la verificación de npm audit antes de que se realicen esfuerzos para solucionarlo.