的脑海中
=== npm audit security report ===
┌───────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└───────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────┐
│ High │ Arbitrary File Overwrite │
├───────────────┼───────────────────────────────────────────────────┤
│ Package │ tar │
├───────────────┼───────────────────────────────────────────────────┤
│ Patched in │ >=4.4.2 │
├───────────────┼───────────────────────────────────────────────────┤
│ Dependency of │ gulp-sass │
├───────────────┼───────────────────────────────────────────────────┤
│ Path │ gulp-sass > node-sass > node-gyp > tar │
├───────────────┼───────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/803 │
└───────────────┴───────────────────────────────────────────────────┘
found 1 high severity vulnerability in 7659 scanned packages
1 vulnerability requires manual review. See the full report for details.
我的建议是尝试升级,但它们看起来确实依赖于第三方软件包。
对于正则表达式DOS,如果输入正确的输入,它可能会使事情停止。与第二个漏洞不同。您应该先升级此版本,如果不能,则应将其完全删除。
但是js-yaml可能会让一些连接停留的时间比它应该的要长,如果在不太可能的情况下你无法升级,有一些软件包可以用来监控和关闭剩余的http连接,并便宜地阻止一个小的dos攻击。Fail2ban * 用于监视的 Splunk 浮现在 linux :)
安全审计是对软件包依赖关系的安全漏洞的评估。安全审核使你能够查找和修复依赖项中的已知漏洞,这些漏洞可能导致数据丢失、服务中断、未经授权访问敏感信息或其他问题,从而帮助你保护包的用户。
npm install npm@latest -g
对我有用