【问题标题】:How to handle vulnerabilities in general一般如何处理漏洞
【发布时间】:2020-04-26 20:46:11
【问题描述】:

我是 javascript 框架的新手,目前正在从事一个 MEAN 项目。起初,我试图了解处理后端和前端漏洞的最安全方法。例如:

我克隆了一个后端/前端项目,在安装依赖项后发现了以下漏洞。

后端

enter image description here

前端

enter image description here

我有很多问题,但我主要关心的是此类项目遵循的正确程序。例如:

  • 我是否必须先将软件包更新到所需版本?
  • 我是否必须修复所有漏洞才能取得进展。
  • 其他因素是否可靠?

感谢您的帮助和支持

【问题讨论】:

    标签: frontend backend


    【解决方案1】:

    我建议您在安装之前检查每个软件包 - 如果您的机器满足它的要求,例如您是否安装了所需的节点版本?

    还有一个 npm outdated 命令,你可以运行它来打印所有过期包的列表

    关于修复漏洞,您可以尝试 npm 审计,以便对项目的依赖关系树进行即时安全审查。生成的审计报告将为您提供故障排除建议和命令。

    你可以为每个带有漏洞标志的包做另一件事 - 检查它的 repo。可能存在与漏洞相关的问题。

    This 可能值得一读。

    【讨论】:

    • 此项目是在另一台机器上使用节点版本 10 创建的。我的节点版本是v1 节点版本应该一样吗?此外,当我运行 npm audit 时,我看到需要运行命令的建议才能解决问题。然而,其中一些是可能会破坏代码的重大更新。所以在这种情况下,我应该选择哪个选项: - 我应该将节点版本更改为 10,然后更改为 npm i? - 离开节点版本 12 并更新所有推荐的依赖项(包括 SEMVER 警告)? - 仅更新过时的软件包是否还有其他一些我遗漏的程序
    • 您的代码没有链接吗?所以我也可以看到你指的是什么命令。我现在不能告诉你先做什么。我可以看看你的代码吗?
    • 我在git中添加了代码,你可以看看。 [github.com/paniklas/vilapp] 感谢您的帮助!
    猜你喜欢
    • 2017-01-19
    • 1970-01-01
    • 2012-01-26
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2022-10-14
    • 2017-04-02
    • 1970-01-01
    相关资源
    最近更新 更多