更新时间:2022-10-16 23:34:18
如何找出哪个包(来自
package.json
)链接到易受攻击的包(位于package-lock.json
)?
(回答我自己的问题):易受攻击的包被命名为growl
。因此,命令npm ls growl
显示依赖它的包:
$ npm ls growl
my-project@1.0.1 C:some_project
`-- mocha@3.5.3
`-- growl@1.9.2
然后就是寻找使用更新版本的这些包的更新版本(在本例中是mocha)的问题。在回答这一问题时,该漏洞已在GitHub的漏洞分析中修复为Growl@1.10.0。因此,请查看release notes for mocha,看看哪个版本更新到了咆哮1.10。我发现:
4.0.1/2017-10-05
🐛修复
- #3051:将Crawl升级到v1.10.3以修复其对等设备的问题(@dpoogue)
更新我的package.json
以显示"mocha": ">=4.0.1",
,然后重新运行npm install
,然后重新运行npm ls growl
,现在显示当前非易受攻击的咆哮版本:
my-project@1.0.1 C:some_project
`-- mocha@5.2.0
`-- growl@1.10.5