关于npm i出现的安全漏洞问题

最新推荐文章于 2024-06-14 15:16:32 发布
最新推荐文章于 2024-06-14 15:16:32 发布
阅读量573 收藏 1
点赞数
文章标签: npm 前端 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/for_tonight/article/details/130487002
版权

关于npm i出现的安全漏洞问题

有时候通过git拉下来代码之后,使用npm i 会出现如图所示的问题:

在这里插入图片描述

虽然这些问题对于启动项目没有影响,但是作为一个前端还是要了解到底是什么一回事,探其究竟。

npm audit

在npm6更新了一个新指令-npm aduit命令,npm audit 命令会递归地分析依赖关系树以识别不安全的依赖,如果你在项目中使用了具有已知安全问题的依赖,就收到警告通知。该命令会在你更新或者安装了新的依赖包后自动运行。npm 官方专门维护了一个漏洞列表,当开发者或者专业的安全团队发现某个依赖包存在安全问题后就会上报给 npm 官方,然后官方会通知该项目开发者进行修复,修复完成后 npm 会把漏洞详细的描述信息、解决方案发布出来。
下面会对npm aduit命令使用后的漏洞信息进行讲解在这里插入图片描述

  • High: 表安全漏洞等级
  • Patched in: 表示可用的补丁版本
  • Package: 存在漏洞的包名称
  • Dependency of: 当前工程直接依赖的包名称
  • Path: 漏洞完整依赖路径
  • More info: 漏洞详情

关于npm audit fix 和npm audit fix --force

npm audit fix 是自动修复版本安全问题的,会版本修复到可用的安全版本,然后如果npm audit fix无效的,切记慎用npm audit fix --force 这个是强制将版本更新到最新可用的安全版本,如果盲目使用的话可能会造成依赖问题(如A包依赖B包,结果B包强制更新,依赖找不到了),所以需要使用npm audit查看具体问题与可解决的版本

for_tonight
关注
修复npm项目中的漏洞
比利Billy
05-11 4985
修复npm项目中的漏洞起因修复方法检查漏洞修复漏洞手动修复`tar`漏洞 起因 最近不少开发者应该和我一样,收到了GitHub的提醒。当你的项目中用到了含有漏洞的库时,GitHub就会给你发邮件提醒你通过更新依赖版本的方法来修复漏洞,这次出问题的是一个叫做tar的库,具体漏洞的内容可以参考这里。 修复方法 npm已经为开发者提供了快速检查和修复依赖中漏洞的命令。 检查漏洞 npm audit 这...
解决node安装包的安全漏洞
boheqing_的博客
02-23 2272
解决node安装包的安全漏洞 npm audit 当运行npm i 的的时候,控制台会提示发现了多少漏洞信息found 3vulnerabilities, 这个时候再去运行npm audit 就可以查看详细的信息了。但是,经目前测试(2021年2月23日)发现国内镜像不支持该操作。 如果 你的 .npmrc 文件设置了国内镜像,那么可以改成原始镜像去查看。 #registry=https://registry.npm.taobao.org/ #registry=https://regist...
npm安装 (high severity)高危漏洞提醒
Siobhan_Mxin的博客
03-23 1717
问题npm在安装axios时候会出现一个1 high severity vulnerability提醒。
使用npm管理漏洞
drawlessonsfrom的博客
11-29 503
1、获取到漏洞的种类信息 npm audit 2、尝试通过更新允许范围内的包解决问题 npm audit fix 3、尝试通过更新不在允许范围内的包解决问题 npm audit fix --force
每周下载超 300 万次的 NPM 包被爆存在严重漏洞
开源吞噬世界。
09-03 3705
本周,开发人员 Tim Perry 披露了一个关于 pac-resolver 的严重漏洞,当一些本地用户在发出 HTTP 请求时,黑客可通过该漏洞肆意运行用户在 Node.js 进程中的任意代码。 此次漏洞与PAC 文件有关 在此之前,pac-resolver 包的每周下载量超过了 300 万次,这个漏洞扩张到了依赖于开源的Node.js 应用程序。Pac-resolver 自诩为一个模块,它接受 JavaScript 代理配置文件,并为应用生成一个函数来映射特定的域以使用代理。 据 Tim Per.
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击...
smellycat000的专栏
11-17 333
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
npm i 各种问题排雷
人人为我,我为人人
01-28 1983
npm ERR! code ERR_TLS_CERT_ALTNAME_INVALID npm ERR! errno ERR_TLS_CERT_ALTNAME_INVALID ...
build-Auto-fix-npm-audit-issues:自动修复npm审核问题
04-06
`npm audit`是npm提供的一个内置工具,用于检查项目中的依赖项是否存在已知的安全漏洞。然而,手动解决这些审计报告中的问题可能会非常耗时。"build-Auto-fix-npm-audit-issues"项目就是为了解决这个问题,它提供了...
关于JavaScript开源生态中安全漏洞传播及其演变分析
weixin_49832675的博客
05-19 331
本次我们团队基于Scantist独家的开源生态数据做了一次系统化安全分析,希望给开源社区的安全治理提供更多的见解和思路。
v12.14.0版本的node.js 6.13.4版本的npm
01-30
此外,npm 6.13.4还增强了安全性,通过更严格的审计功能来检测和修复潜在的安全漏洞。对于团队协作而言,npm 6.x版本改进了工作流,支持更好的版本锁定和并发安装,使得项目维护更加顺畅。 在开发环境中,Node.js v...
npm-lockfile:安全地生成 npm 锁文件并将其输出到您选择的文件名
08-04
2. **安全扫描**:定期使用安全工具(如 `snyk` 或 `npm audit`)扫描锁文件中的依赖,查找并修复安全漏洞。 3. **团队协作**:在团队开发中,确保每个成员都使用锁文件,并在代码库中提交这个文件,以保持一致性。...
漏洞报告和安全事件分析/你要知道的 npm 依赖包漏洞检测和修复_小白网安指南
程序员三九的博客
06-14 547
依赖包漏洞扫描的工作流程大致如下图,通过这个图我们先对整个过程有个粗略的印象。本文会先扫扫盲,介绍一些常见的名词,然后再介绍几个漏洞扫描工具,最后以其中一个工具作为示例
npm install后出现很多漏洞
weixin_41486438的博客
09-09 590
1.解决npm安装时出现run npm audit fix to fix them, or npm audit for details npm audit fix npm audit fix --force npm audit 2.hadoop@1.0.0 dev: webpack-dev-server --inline --progress --config build/webpack.dev....
npm安全漏洞检查
dengjiax的博客
08-16 423
在包里运行如下的命令可以自动下载安装新版本依赖,升级到不向后兼容的新版本时,依赖的调用逻辑可能需要重写。修复漏洞的方法就是升级依赖版本。在包里运行如下的命令可以自动下载安装。
NPM蠕虫漏洞披露
weixin_34406086的博客
07-03 141
NPM项目已正式承认其存在一个长期的安全漏洞,该漏洞可能导致恶意的代码包可以在开发者系统上随意的运行任意代码,导致了第一个NPM创建的蠕虫。在一篇名为“npm无法限制恶意代码包的行为”的漏洞说明VU319816中,Sam Saccone描述了创建一个蠕虫需要的步骤以及怎么让它自动传播。尽管这是在2016年一月被报道出来的,然而从NPM仓库管理初始版本发布...
攻击技术研判|见微知著,NPM软件包供应链攻击赏析
wangluoanquan111的博客
08-20 228
本次事件是基于开源软件公共软件包存储库的供应链攻击的典型案例,攻击者利用开发者对与第三方开源软件包的盲目信任,部署窃取用户信息的后门木马。本次基于NPM的供应链攻击事件具有以下特点:1. 门槛低:任何注册了NPM账号的用户都可以上传发布自己开发的软件包,缺乏必要的审核措施2. 数量大:虽然有恶意软件举报机制,但高达130万个三方软件包的托管量导致缺乏有效及时的监管方法3. 少意识:开发者仅关注功能需求,缺乏对第三方库的源码加以甄别的安全意识与能力,随意地安装测试。
输入npm i 后 npm干了些什么
小虾的博客
09-03 2217
npm 包更新机制 语义化版本1更新机制 ^1.2.3 版本兼容 会更新到1.2.3 到 2.0.0之间的版本,不包含2.0.0 ~1.2.3 大致相当于同一个版本 会更新到1.2.3 到1.3.0之间的版本,不包含1.3.0 1.2.3 确定版本 只会下载1.2.3版本 npm i输入后的包更新顺序 从项目package.lock.json中查看依赖版本的integrity属性,比对是否跟本地版本一致 如果一致,就跳过这个包的安装 如果不一致走3 参考package.json中包的版本,然后
月下载量千万的 npm 包被黑客篡改,Vue 开发者可能正在遭受攻击
wuli1024的博客
12-27 943
event-stream 被很多的前端流行框架和库使用,每月有几千万的下载量。
React npm install安装后有漏包的情况
weixin_44233592的博客
01-08 494
解决办法(亲测): 在文件夹中删除node_modules,然后重新执行npm install (还真管用,神奇) 附加一些常用的安装包的命令: 1.网速慢,通过淘宝镜像方式安装包 install -g cnpm --registry=https://registry.npm.taobao.org 2.设置代理 npm config set proxy http://xzproxy.*******.com:8080 npm config set https://proxy http://.
nvm退回npm版本
最新发布
07-24
`nvm`(Node Version Manager) 是一款用于管理 Node.js 的工具。通过 `nvm`, 用户可以轻松地在多个 Node.js 版本之间切换,并安装、卸载特定版本的 Node.js。 如果你想要退回至 npm 某一历史版本,通常不是直接通过 `nvm` 实现的,而是首先需要下载旧版本的 Node.js 安装包,然后通过命令行手动安装到你的系统上。这里以回退到某个指定的 Node.js 版本为例,说明如何操作: ### 步骤 1: 确定所需版本 首先,你需要确定想要回退到的具体版本。例如,假设你想回退到 Node.js v8.9.4 版本。 ### 步骤 2: 下载对应版本的安装包 访问 [Node.js 官方网站](https://nodejs.org/) 或第三方镜像站点如 [nodejs.org.cn](https://nodejs.org.cn/) 下载对应版本的安装包。对于 v8.9.4 版本,下载地址如下(请将实际链接替换为正确的 v8.9.4 链接): ```bash wget https://nodejs.org/dist/v8.9.4/node-v8.9.4-linux-x64.tar.xz ``` 或者如果你使用的是 Windows 系统,则下载对应的 Windows 文件。 ### 步骤 3: 解压缩并安装 解压下载的 tar 文件: ```bash tar -xvf node-v8.9.4-linux-x64.tar.xz ``` 然后移动文件夹到 `/usr/local` 目录下,或者设置你喜欢的位置: ```bash sudo mv node-v8.9.4-linux-x64 /usr/local/ ``` 接下来,创建一个软链到 `/usr/bin` 目录,以便你可以通过命令 `node` 来运行 Node.js: ```bash cd /usr/local/ sudo ln -s node-v8.9.4-linux-x64/bin/node /usr/bin/node ``` 最后,验证新安装的 Node.js 版本: ```bash node -v ``` 如果显示的是 `v8.9.4`,则表示已成功安装指定版本的 Node.js 并启用。 ### 使用注意事项 1. **兼容性**:确保回退的 Node.js 版本与你的项目兼容,特别是依赖的模块是否支持该版本。 2. **安全性**:老版本可能存在安全漏洞,因此定期更新到最新版 Node.js 是推荐的做法。 3. **环境隔离**:考虑使用虚拟化技术(如 Docker 或 Vagrant),为每个项目独立维护 Node.js 版本,以避免版本冲突和混乱。 ### 相关问题: 1. 怎样查看当前系统已经安装了哪些 Node.js 版本? 2. 如何从特定版本升级到更高版本的 Node.js? 3. 是否可以在不重启计算机的情况下切换 Node.js 版本? 以上步骤提供了一种基本的方法来回退到特定版本的 Node.js,确保了项目的稳定性和兼容性。不过,为了方便管理和版本控制,建议使用一些自动化工具或者持续集成/持续部署(CI/CD)流程来管理 Node.js 和其他依赖库的版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值