【发布时间】:2019-05-24 18:47:26
【问题描述】:
我有一个package.json 那个gives a load of security warnings。查看第一个关键项目,我看到它的open@0.0.5 已经五年没有更新了。查看npm ll 它包含在npm@6.5.0 中,我使用的是大约两周前更新的最新版本。
我想删除不安全的依赖项。在 Java 世界中,maven package manager 允许您排除某些传递依赖项。理想情况下,使用npm 或其他节点包管理器,我应该能够排除存在漏洞的依赖项。然后我可以重新测试我的应用程序是否正常工作,并且看不到任何安全错误。有没有办法从我的 package.json 中快速排除任何有安全漏洞的东西?如果没有办法做到这一点,可以采取哪些方法来确保我的应用程序不使用不安全的包?
更新:尽管在 package.json 中指定了 "npm": "^6.5.0",但我正在使用较旧的 npm 构建它,该 npm 解决了上述关键问题。我用./node_modules/.bin/npm audit fix --force修复了所有问题
【问题讨论】:
标签: node.js npm package.json