最新的,在7s内审计了1446个包
194个包正在寻找资金运行npm fund查看详细信息
6个高级别漏洞
要处理所有问题(包括破坏性更改),请运行:NPM审计修复——force
运行npm audit查看详细信息。
理想情况下,我们应该解决这些漏洞,特别是在生产、敏感工作场所等阶段。然而,通常,您必须手动解决这些漏洞。
npm audit fix将尝试"修复";它可以通过执行一些更新。
npm audit fix --force将尝试进一步考虑在主要语义版本(例如,2到3,而不是2到2.1,如果必要的话)之间升级
这可能还不够。为了安全起见,你要仔细检查每一个被声明为易受攻击的模块,以考虑最终的风险,以及任何问题如何影响你的项目
请记住:"npm"可以随时发现漏洞。
因此,如果开发人员没有发送一个新版本来纠正已识别的问题,您将不得不:
- 决定是否使用新的库。
- 决定降级或升级他们的库,对你的代码影响最小。
- 决定自己修复漏洞
- 决定等待作者修复问题
- 决定实施您的解决方案。
- 决定接受这些漏洞,并可能在生产前解决它们。
npm audit随着时间的推移监视模块,因此一些漏洞仍然可能发生在完全认为安全的模块上。因此,不存在100%的永久修复。
有问题模块列表的方法:
$> npm audit fix --dry-run --json
https://docs.npmjs.com/cli/v8/commands/npm-audit