github:解决项目依赖的安全隐患

最新推荐文章于 2023-06-07 09:57:32 发布
最新推荐文章于 2023-06-07 09:57:32 发布
阅读量990 收藏 2
点赞数 2
分类专栏: git与github 文章标签: 依赖安全隐患 github security dependencies
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41327283/article/details/106089262
版权

在github上第一次上传了自己的项目,然后就收到了安全警告。

作为新手,当然也是对怎么解决这个问题,感到一头雾水。经过一番摸索之后,在这里记录并分享一下解决方式。先点进去看看是什么问题。

然后点击依赖名称进去看看详细情况,里面有给出有安全隐患的依赖应该升级到哪一个版本,以及低于该推荐版本前会有什么样的隐患:

然后我们打开我们项目中的package.json文件。这里我一开始在解决的时候,我百度了一下,然后有说法是在package-lock.json文件中查找依赖名称进行修改,然后我一查,能找到好多个地方都有这个依赖名称,我头都大了。后面发现其实有些依赖是可以通过直接在package.json中修改就能解决的

例如,我上面安全隐患的截图中,关于webpack-bundle-analyzer依赖就可以在在package.json中查找到。现在,我们来查一下webpack-bundle-analyzer,发现只有一处。然后根据github的提示是至少要3.3.2版本或以上,修改如下:

然后打开cmd,进入到项目中,然后运行 npm install  

然后push到github上去,然后去刷新安全提示那个页面,就可以看到关于webpack-bundle-analyzer的安全提示已经自动关闭了。有些依赖在package.json中找不到,在package-lock.json中倒是能够找到。这里先分享一下我找到的一篇关于package-lock.json文件的作用的博客:package-lock.json的作用。博客里面也给出了更新方法。

在以前可能就是直接改package.json里面的版本,然后再npm install了,但是5版本后就不支持这样做了,因为版本已经锁定在package-lock.json里了,所以我们只能npm install xxx@x.x.x  这样去更新我们的依赖,然后package-lock.json也能随之更新。

 所以我们可以直接打开cmd进入到项目下,运行:

// @后面的版本号可以根据github安全警告给出的解决方案来

npm install js-yaml@3.13.1

npm install mem@4.0.0

npm install minimist@0.2.1

然后push代码到github上,然后来检验一下效果:

 

 

foreverzwl
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
scan-action:Github Action,用于利用Coinbase的Salus进行安全扫描
01-31
总的来说,`scan-action`是一个用于GitHub Actions的安全扫描解决方案,它借助Salus进行静态代码分析,包括对项目依赖安全性检查。这个Action能够帮助开发者实施持续的安全实践,提升软件开发的安全水平,同时减少...
security-on-github
04-05
【标题】"GitHub上的安全实践" 【描述】在GitHub上进行开发时,...通过"Octocat游戏"这样的学习工具,开发者可以以轻松的方式学习并掌握这些安全实践,提高个人和团队的代码安全性,从而保护GitHub上的项目免受攻击。
GitHub启用安全告警功能
cpongo5
11-27 380
GitHub启用了一项安全告警功能,通过扫描项目依赖项检测出存在的隐患。一旦扫描出漏洞,用户会收到告警和漏洞的详细信息,包括严重级别和相应的解决办法。\\该特性基于最近推出的依赖项图功能而构建,GitHub自动扫描项目依赖项,并将结果展示给用户。\\GitHub旨在通过交叉引用依赖项数据和安全数据尽可能多地识别隐患,并尽快告知用户。他们使用了机器学习技术,并结合了一些公共数据:\\\具有CVE ...
GitHub 推出安全新功能,帮助开源软件发现漏洞和机密信息
smellycat000的专栏
05-07 519
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队本周三,GitHub宣布推出两个安全新功能,旨在帮助开发人员找到代码中的漏洞和潜在的敏感机密信息。GitHub 在 Sat...
github优质网络安全链接笔记
u011975363的专栏
07-14 206
poc 服务器模板注入:https://github.com/epinna/tplmap goby poc:https://github.com/luck-ying/Library-POC
GitHub引入依赖图和安全预警
cpongo5
10-16 187
在Universe大会上,GitHub宣布了若干旨在更好地保护代码的新特性,其中包括新的依赖图和安全预警。此外,GitHub现在提供了一个推荐系统和一种新的Explore体验,前者可以帮用户发现他们感兴趣的项目,后者提供了精选资源集、主题和其他资源。\\GitHub依赖图可以为用户列出库的所有依赖项,并且可以通过库的Insight页签选择依赖图。对于私有库,GitHub要求开发人员授权GitHub...
Github突遭大规模恶意攻击,大量加密密钥可能泄露!
zandaoguang的博客
08-04 160
视学算法报道编辑:David【导读】爆料者在推特上表示,目前已经向Github报告,并提醒各位不要安装奇奇怪怪的package。目前官方已删除大部分恶意clone。Github又被人恶意攻击了?还是涉及35000资源库的大规模攻击?这个消息不是官方消息,是推特用户@Stephen Lacy在推特上发出来的。个人资料显示,Stephen Lacy是一位软件工程师,从...
程序员的新朋友:GitHub Copilot.docx
最新发布
04-17
- **安全性考量**:自动生成的代码可能存在安全隐患,需要开发者仔细检查并确保代码的安全性。 #### 六、案例研究与数据分析 - **效率对比**:研究表明,在时间复杂度方面,Copilot生成的代码有87.2%的情况下与...
2020年GitHub Octoverse开源软件安全报告有哪些亮点?.pdf
11-23
报告数据显示,启用依赖关系图表的仓库数量增加,意味着更多的开发者开始关注其项目依赖安全。同时,报告可能还揭示了漏洞修复速度、新漏洞的出现频率以及不同生态系统的安全响应差异等方面的信息。 总结来说,...
稀有REST API恶意漩涡:由GitHub Classroom创建的稀有API恶意漩涡
02-20
【标题解析】:“稀有REST API恶意漩涡:由GitHub Classroom创建的稀有API恶意漩涡”这个标题暗示了一个安全问题,涉及到RESTful API在特定环境(如GitHub Classroom)下的异常或恶意行为。REST(Representational ...
snync:缓解依赖混淆供应链安全风险的安全问题
07-24
同步 缓解依赖混淆供应链安全风险的安全问题 关于 预防和检测您是否容易受到依赖混淆供应链安全攻击 介绍 当您管理私有开源包时,出于诸如保持知识产权私有等原因,这些包将通过私有注册表托管和提供,或需要授权。 根据定义,这些包不会存在于公共注册表中。 但是,当包名在没有保留命名空间(例如,在 npm 中也称为作用域)的情况下使用时,它们通常可以自由地被 Internet 上的任何其他用户注册并创建潜在的依赖混淆攻击向量。 攻击表现为用户配置错误和包管理器设计不良的混合,这将导致从公共注册表而不是私有注册表下载包。 它是如何工作的? 该工具检测两种潜在的依赖混淆危害: 易受伤害的 可疑的 易受伤害的 实际易受攻击的包的一种情况是,当检测到某个包名在项目中使用时,但未在公共注册表中注册相同的包名。 您可以在 npm 项目中轻松模拟这种情况的真实示例: 编辑 package.json 文件
使用过的GitHub依赖
selectandaction的博客
05-21 252
浏览器检测 https://github.com/hisorange/browser-detect
从工具到实践:如何在GitHub上保障开源项目安全
分享 GPU 管理与大模型推理相关技术实践
12-27 1003
1998年,Christine Peterson创造了 “开源软件”这个词。她解释道:“这是刻意为之,为了让其他人更容易理解这个领域”。同年,O’Reilly组织了首届“开源峰会”。开源软件受到更多人青睐原因在于,用户对软件拥有更多的控制权因为他们可以检查代码。对于长期项目来说,开源软件被认为是稳定的,因为这些项目遵循开放的标准,即便维护者停止工作,也不会凭空消失。活跃的开发者社区十分重要。比起闭源软件,开源需要更多地考虑安全问题,因为任何人都可以查看并修改代码。贡献者可以发现错误并提交一个PR对代码进行变
GitHub发布Python安全警告 识别依赖包的安全漏洞
weixin_34121282的博客
08-04 290
关注头条号,私信回复资料会有意外惊喜呦………………最后一张照片有资料呦。GitHub宣布了Python安全警告,使Python用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。安全警告首次发布是在2017年10月,为了跟踪Ruby和JavaScript程序包中的安全漏洞。据GitHub介绍,从那时起,数以百万计的漏洞被发现,推动了许多补丁的发布。GitHub会根据MITRE的公共漏...
webpack打包项目如何实现github预览
张木期的博客
06-06 905
最近在用Vue写了一个项目用来webpack打包后,想要上传到github,并通过Github pages预览,在这个过程中遇到了一些问题,因此写个笔记,以便查阅 完成Vue项目以后,在上传到github之前,需要修改一些配置才能通过github pages预览项目。 一、修改配置 解决文件路径问题: 打开项目根目录config文件夹下的index.js文件,进行如下修改: 看清楚是 build...
如何把自己项目上传GitHub制作成依赖库供其他人使用
qq_55862170的博客
06-07 714
安卓最新版本[自己写一个依赖]
Github 自己新建依赖的实现步骤
wolfking0608的博客
08-07 601
实现步骤: 新建一个空的项目 新建一个新的Libarary , 删掉原来的module classpath 'com.github.dcendents:android-maven-gradle-plugin:2.0'//第一步 maven { url 'https://jitpack.io' } a...
github上添加依赖出现无法解析的错误
liuxiaopang520的博客
05-18 2018
今天从github上导入一个多线程多任务下载的开源框架,用添加依赖的方式导入后,一直报无法解析的错误,如图: 弄了10分钟才弄明白是什么回事,解决起来就简单的多了,在你工程(注意是整个project)的build.gradle文件中添加一下代码即可:
github工具_网络安全Github渗透工具资源整合分享
weixin_39768695的博客
11-30 861
超级弱口令多线程检查审计工具SNETCracker可快速发现弱密码、弱口令账号,密码支持和用户名结合进行检查,大大提高成功率,支持自定义服务端口和字典。下载地址:https://github.com/shack2/SNETCracker/releasesGithub关键字监测、告警、发现下载地址:https://github.com/deepdivesec/GitMADAVIator是一个后门生成...
Git与Github:分布式版本控制与协作神器
Git与Github1.3.pptx是一份...Git与Github1.3.pptx旨在帮助读者掌握Git的基本操作,理解其在项目管理中的角色,并熟悉如何在GitHub上进行高效、安全的协作。这份资料对于初学者和专业开发人员都是一个宝贵的学习资源。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值