【发布时间】:2018-10-07 19:16:02
【问题描述】:
今天 github 在我的 github 存储库中显示以下错误:
我们在您的一个设备中发现了潜在的安全漏洞 依赖关系。 ./package-lock.json 中定义的依赖项已知 安全漏洞,应该更新。
单击查看易受攻击的依赖项按钮时,会显示以下消息:
5.0.3 之前的hoek 节点模块遭受了修改 通过“合并”实现的假定不可变数据 (MAID) 漏洞
直到昨天它还没有显示这样的错误。我已经超过 5 天没有对此存储库进行任何推送。知道为什么会这样。
【问题讨论】:
-
很可能最近才发现 hoek 中的安全漏洞。这显然是因为 a) 你的项目使用了 hoek,b) 某些版本的 hoek 存在安全漏洞,以及 c) Github 现在认为这个漏洞非常重要,可以警告你。您已经好几天没有推送的事实完全无关紧要。
标签: git github node-modules package.json package-lock.json