如何解决 create-react-app (react-script) 依赖漏洞?

【问题标题】:How do I resolve create-react-app (react-script) dependency vulnerabilities?如何解决 create-react-app (react-script) 依赖漏洞?
【发布时间】:2021-06-17 18:25:42
【问题描述】:

所以基本上,每次我使用 npx、npm 或 yarn(都尝试过)、NodeJS 12 和 NodeJS 16.3.0 和 npm 7.15(或类似的东西)运行 create-react-app 时,它都会给我多个依赖漏洞。使用最新版本的 npm 和 nodeJS,我得到了 24 个(11 个中等和 13 个高)。如何解决这些依赖关系?还是可以忽略它们。我想最终在生产模式下使用建议的应用程序,但是我一生都无法弄清楚如何解决这些依赖关系。

所有漏洞似乎都与反应脚本和拒绝服务有关。在修复中,它建议 npx audit fix --force 将通过将 react-scripts 模块更改为 1.1.5 来修复它,但是当我这样做时,会出现更多漏洞,建议使用相同的解决方案,但要恢复到反应脚本 4.0.3。任何建议都会很棒,因为我在这里让自己发疯并找到接近 0 个答案。

【问题讨论】:

  • 除了等待 react-scripts 的作者更新他们的包之外,您无能为力。在 github 上打开 issue 会有所帮助。
  • 其实刚才已经有issue了:Security vulnerability issues #11118
  • @ISAE 哦,这很有趣。我想我只能等它结束了。如果我开始在当前的 react 文件中构建项目,一旦漏洞得到解决,将这些文件移动到新的“create-react-app”是否足够容易?

标签: node.js reactjs npm create-react-app npx


【解决方案1】:

由于browserslist 软件包,我在此处发布了将漏洞降低到中等风险的解决方案:

https://stackoverflow.com/a/68046680/1669123

最终我认为我们需要等待 CRA 团队更新react-scripts

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2021-12-03
    • 2022-01-16
    • 2021-12-15
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-12-28
    • 2020-02-17
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode