【问题标题】:deep-extend 0.5.1 has known vulnerabilitiesdeep-extend 0.5.1 存在已知漏洞
【发布时间】:2018-11-03 08:53:10
【问题描述】:

你能帮我解决这个问题吗?

当我通过 npm audit 进行审核时。它注意到 deep-extend 0.5.1 存在已知漏洞

在 package-lock.json 中,我可以找到问题的根源

  electron-builder > package-json > registry-url > rc > deep-extend

我在 devDependencies 中使用最新版本的 electron-builder

"devDependencies": {
    "electron": "2.0.2",
    "electron-builder": "20.14.7",
    "electron-devtools-installer": "2.2.4",
    "foreman": "3.0.0"
  }

谁能帮我忽略上述审计?非常感谢

【问题讨论】:

  • 那么,您的实际问题是什么?如何修复深度扩展中的已知漏洞..?
  • 是的先生,我很抱歉这个问题

标签: javascript reactjs electron electron-builder


【解决方案1】:

如果 electron-builder 依赖 latest deep-extend 并且 latest deep-extend 存在漏洞并且您关心,那么您就有麻烦了,有 3 个选项。

  • 将此问题报告给维护人员,并希望在您发布之前解决此问题。
  • 您自己修复此问题,向深度扩展提出拉取请求,并希望他们会接受它,直到您发布为止。
  • fork deep-extend,electron-builder,打补丁,在 npm 上发布。而不是在他们解决问题时切换。这是最难的方法。

如果 electron-builder 不依赖于 latest deep-extend,您可以将 propper deep-extend 版本添加到您的 package.json 中,electron 会尝试使用它。

不确定这对你有多大帮助。

【讨论】:

  • 非常感谢。我解决了问题。我使用纱线的“分辨率”属性。它奏效了
  • @nguyennani 很高兴听到这有帮助
猜你喜欢
  • 2018-05-15
  • 2017-06-17
  • 2020-08-11
  • 1970-01-01
  • 2011-09-14
  • 1970-01-01
  • 2022-11-29
  • 2016-12-29
相关资源
最近更新 更多