且构网

分享程序员开发的那些事...
且构网 - 分享程序员编程开发的那些事

找到漏洞的来源(在Package.json中)(在Package-lock.json中)

更新时间:2022-10-16 23:34:18

如何找出哪个包(来自package.json)链接到易受攻击的包(位于package-lock.json)?

(回答我自己的问题):易受攻击的包被命名为growl。因此,命令npm ls growl显示依赖它的包:

$ npm ls growl
my-project@1.0.1 C:some_project
`-- mocha@3.5.3
  `-- growl@1.9.2

然后就是寻找使用更新版本的这些包的更新版本(在本例中是mocha)的问题。在回答这一问题时,该漏洞已在GitHub的漏洞分析中修复为Growl@1.10.0。因此,请查看release notes for mocha,看看哪个版本更新到了咆哮1.10。我发现:

4.0.1/2017-10-05

🐛修复

  • #3051:将Crawl升级到v1.10.3以修复其对等设备的问题(@dpoogue)

更新我的package.json以显示"mocha": ">=4.0.1",,然后重新运行npm install,然后重新运行npm ls growl,现在显示当前非易受攻击的咆哮版本:

my-project@1.0.1 C:some_project
`-- mocha@5.2.0
  `-- growl@1.10.5