安装反应脚本时的漏洞

【问题标题】:vulnerability when install react-scripts安装反应脚本时的漏洞
【发布时间】:2021-12-04 18:19:42
【问题描述】:

当我安装 react-scripts 时,我得到 58 个漏洞(16 个中等,40 个高,2 个严重)

我的设置是:

  • Linux Debian 10
  • Nodejs v14.18.1
  • Npm 8.1.0
  • 反应 17.0.2
  • 反应脚本 4.0.3

已弃用的软件包:

  • flatten@1.0.3,
  • @hapi/topo@3.1.6,
  • @hapi/bourne@1.3.2,
  • urix@0.1.0,
  • resolve-url@0.2.1,
  • querystring@0.2.1
  • sane@4.1.0,
  • chokidar@2.1.8,
  • querystring@0.2.0,
  • babel-eslint@10.1.0
  • hapi/address@2.1.4,
  • rollup-plugin-babel@4.4.0,
  • uuid@3.4.0
  • hapi/joi@15.1.1,
  • svgo@1.3.2,
  • core-js@2.6.12

请帮忙!

【问题讨论】:

标签: reactjs npm npm-scripts


【解决方案1】:

如果您安装的是最新版本的react-scripts,则不太可能出现问题。

您应该考虑将您的包中的react-scriptsdependencies 移动到devDependencies(如果它还没有的话)并运行npm audit --production 而不是npm audit。基本上,在开发依赖项中存在“漏洞”很可能不是问题,因为它们无法被利用。

create-react-app 存储库上的这个问题详细解释了它: https://github.com/facebook/create-react-app/issues/11174

同一作者的这篇文章在更一般的情况下解释了npm audit 的问题: https://overreacted.io/npm-audit-broken-by-design/

【讨论】:

  • 谢谢,现在我清楚了!
猜你喜欢
  • 1970-01-01
  • 2020-09-26
  • 2020-03-15
  • 2020-04-01
  • 1970-01-01
  • 2021-12-17
  • 2022-01-13
  • 2021-08-14
  • 2011-05-18
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode