超级代理安全漏洞

【问题标题】:Superagent security vulnerability超级代理安全漏洞
【发布时间】:2018-10-26 05:05:36
【问题描述】:

收到来自 GitHub 的警告,超级代理 v3.5.2 存在低级安全风险。 Superagent 是与square-connect npm 一起安装的依赖项。是否应该手动升级它,还是应该不理会它,因为它是按照 Square 的 API 下载的。

Known low severity security vulnerability detected in superagent <3.7.0 defined in package-lock.json.
package-lock.json update suggested: superagent ~> 3.7.0.

应用程序正在使用以下依赖项运行:

"square-connect": "^2.20180918.0"

【问题讨论】:

    标签: node.js npm package.json square


    【解决方案1】:

    我认为最好是直接在their github 上打开一个问题。

    如果通过测试,您甚至可以使用升级后的依赖项提交拉取请求。

    是否应该手动升级

    AFAIK 没有标准方法可以用 npm 覆盖嵌套依赖项。 即使你npm install superagent@3.7.0,它仍然会保留另一个版本作为square-connect的依赖。

    Yarn 通过package.json 中的resolutions 条目支持它:

    {
  "resolutions": {
    "superagent": "3.7.0"
  }
}

    但这不适用于npm

    【讨论】:

    • 感谢纱线的提示。我尝试 npm audit 来更新它,但响应说我必须手动更新。我确实伸手去广场,截至两天前,他们说他们正在调查它。我要试试 yarn 看看会发生什么。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2017-11-24
    • 2011-12-17
    • 1970-01-01
    • 1970-01-01
    • 2021-08-19
    • 2017-02-28
    • 2013-04-15
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode