【问题标题】:Importance of NPM vulnerabilities for build processesNPM 漏洞对构建过程的重要性
【发布时间】:2018-11-20 23:19:30
【问题描述】:

我可能有点落后,但我昨天刚刚升级了 NPM,现在我遇到了各种与模块依赖相关的漏洞,例如原型污染、内存暴露和正则表达式拒绝服务。

我使用这些包的目的只是使用 gulp 或 webpack 等构建过程来编译、重命名、“丑化”和压缩我的资产。

所以,我想我想知道修复这些漏洞有多重要,或者它们与我的流程有多相关,因为它们仅用于本地构建我的资产(scss -> css、babel 和图像压缩)。

我的预感是,虽然您总是想谨慎起见出错,因为它们没有在节点服务器或任何实时进程、用户输入等上使用......它可能不像我那么重要原本以为。我走远了吗?

【问题讨论】:

  • 只要您控制构建过程的输入文件并且您可以信任它们,您的情况应该没问题,

标签: node.js security npm webpack gulp


【解决方案1】:

你的预感是对的 ...但要小心。

使用 NPM 的 cli 命令 npm-audit 运行安全审计并检查每个列出的漏洞,以便根据您的情况得出危险

您可以通过运行尝试修复这些漏洞:

npm audit fix

...但通常情况下,通过尝试将这些有问题的依赖项更新到下一个可能的 semver 版本而不破坏功能,这只会解决您的一些漏洞警告。

基本上,直到这些带有注意事项和注意事项的软件包仅作为生成器脚本、构建任务和自动化运行,你会没事的

但请尽快将它们更新到最新版本。我建议npm-check-updates检查已安装软件包的更新版本。

【讨论】:

  • 感谢您的回复!我肯定会尝试尽快更新这些,甚至考虑使用 npm 脚本而不是 gulp 以便在我选择包时更加灵活,但我只是想我会仔细检查。再次感谢!
  • 不客气,继续努力,继续前进……通过 gulp。 ;)
猜你喜欢
  • 2019-12-31
  • 2019-01-08
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2021-04-14
  • 1970-01-01
  • 2021-08-14
  • 2021-12-21
相关资源
最近更新 更多