如何修复 vue-cli-service 漏洞？

Question

我刚刚尝试使用 @vue/cli 4.3.1 创建一个新项目，全新安装 Ubuntu 19.10，npm 6.14.4。当我cd 进入项目并运行npm install 时，我得到以下信息：

found 1 high severity vulnerability
  run `npm audit fix` to fix them, or `npm audit` for details

运行npm audit fix 产生

fixed 0 of 1 vulnerability in 1285 scanned packages
  1 vulnerability required manual review and could not be updated

在运行npm audit 时，我得到了

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ http-proxy                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @vue/cli-service [dev]                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @vue/cli-service > webpack-dev-server >                      │
│               │ http-proxy-middleware > http-proxy                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1486                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

这是预期的吗？普通的？可以修复吗？让我担心的是，在没有安装任何恶意软件的干净环境中会发生这种情况，但我也不是 npm 专家……我应该在这里做什么？

Answer 1

我在设置一个新的 Vue 项目时遇到了同样的问题。我能够在 Github Vue/Vue-cli 上找到他们解决问题的帖子：

https://github.com/vuejs/vue-cli/issues/5489#issuecomment-629326414

该帖子说他们正在跟踪问题，但作为说明：

注意：因为它只用于本地开发服务器，它不是一个 Vue CLI 项目的实际安全漏洞。随意忽略 如果@vue/cli-service 是你的这个依赖的唯一来源 项目。

所以，我已经继续，暂时忽略了它。我希望当他们更新 NPM 包时，它将使用更新的 http-proxy，从而解决问题。

根据跟踪器本身，它说它已在 http-proxy 版本 1.18.1 中修复。

Answer 2

我建议，在创建 vue cli 项目之前，将 node 和 npm 升级到可用的最新版本。我遇到了同样的问题，这为我解决了部分问题（从之前的 108 个漏洞到之后的 45 个）。