【发布时间】:2020-04-26 20:46:11
【问题描述】:
我是 javascript 框架的新手,目前正在从事一个 MEAN 项目。起初,我试图了解处理后端和前端漏洞的最安全方法。例如:
我克隆了一个后端/前端项目,在安装依赖项后发现了以下漏洞。
后端
前端
我有很多问题,但我主要关心的是此类项目遵循的正确程序。例如:
- 我是否必须先将软件包更新到所需版本?
- 我是否必须修复所有漏洞才能取得进展。
- 其他因素是否可靠?
感谢您的帮助和支持
【问题讨论】:
我是 javascript 框架的新手,目前正在从事一个 MEAN 项目。起初,我试图了解处理后端和前端漏洞的最安全方法。例如:
我克隆了一个后端/前端项目,在安装依赖项后发现了以下漏洞。
后端
前端
我有很多问题,但我主要关心的是此类项目遵循的正确程序。例如:
感谢您的帮助和支持
【问题讨论】:
我建议您在安装之前检查每个软件包 - 如果您的机器满足它的要求,例如您是否安装了所需的节点版本?
还有一个 npm outdated 命令,你可以运行它来打印所有过期包的列表
关于修复漏洞,您可以尝试 npm 审计,以便对项目的依赖关系树进行即时安全审查。生成的审计报告将为您提供故障排除建议和命令。
你可以为每个带有漏洞标志的包做另一件事 - 检查它的 repo。可能存在与漏洞相关的问题。
This 可能值得一读。
【讨论】: