我应该关注 npm install 期间 NPM 显示的漏洞吗? [关闭]

【问题标题】:Should I be concerned about the vulnerabilities NPM shows during npm install? [closed]我应该关注 npm install 期间 NPM 显示的漏洞吗? [关闭]
【发布时间】:2020-12-26 11:04:23
【问题描述】:

我已经安装了node-cron,安装后显示一堆警告和一些漏洞。

npm WARN optional SKIPPING OPTIONAL DEPENDENCY: fsevents@2.1.3 (node_modules\fsevents):
npm WARN notsup SKIPPING OPTIONAL DEPENDENCY: Unsupported platform for fsevents@2.1.3: wanted {"os":"darwin","arch":"any"} (current: {"os":"win32","arch":"x64"})

+ node-cron@2.0.3
added 3 packages from 3 contributors and audited 414 packages in 12.837s
found 28 vulnerabilities (5 low, 16 moderate, 7 high)

那么,我应该关注生产环境的漏洞吗?

【问题讨论】:

  • 可选依赖不是漏洞,只是没有安装的可选依赖。
  • 一般这些漏洞很容易修复,例如npm audit fix;我通常的目标是减少 Prod 环境中的漏洞——尤其是高/中等漏洞。

标签: javascript node.js production-environment


【解决方案1】:

是与否,

漏洞可能会在您的应用程序中制造漏洞,从而很容易被恶意用户和黑客攻击,

在大多数情况下,您可以做的是忽略,但如果您的应用程序正在处理安全性优先的敏感内容,请尝试查找具有 0 个或更少漏洞的软件包,并尝试通过隐藏您的系统来解决这些漏洞在防火墙后面或采取其他安全措施。

这是可以提供帮助的好工具之一

https://snyk.io/blog/ten-npm-security-best-practices/

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2020-02-15
    • 2020-01-15
    • 2018-11-22
    • 2021-04-14
    • 2019-01-08
    • 2020-07-05
    • 2018-10-19
    • 2019-07-04
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode