¿Cómo reparar estas vulnerabilidades? (El arreglo de auditoría npm no puede corregir estas vulnerabilidades)

9

Mi proyecto tiene 6 vulnerabilidades de alta gravedad y no tengo idea de cómo solucionarlas. La corrección de auditoría npm falla. Por favor, ayúdame a arreglar esto.

Estaba instalando https://www.npmjs.com/package/toastr en mi proyecto y después de que se haya instalado, se mostraron las vulnerabilidades. No sé si hay alguna conexión. === informe de seguridad de auditoría npm ===

                             Manual Review                                  
         Some vulnerabilities require your attention to resolve             

      Visit https://go.npm.me/audit-guide for additional guidance           


High            Machine-In-The-Middle                                         

Package         https-proxy-agent                                             

Patched in      >=3.0.0                                                       

Dependency of   @angular/cli [dev]                                            

Path            @angular/cli > @schematics/update > pacote >                  
                make-fetch-happen > https-proxy-agent                         

More info       https://npmjs.com/advisories/1184

High            Machine-In-The-Middle                                         

Package         https-proxy-agent                                             

Patched in      >=3.0.0                                                       

Dependency of   @angular/cli [dev]                                            

Path            @angular/cli > pacote > make-fetch-happen >                   
                https-proxy-agent                                             

More info       https://npmjs.com/advisories/1184

High            Machine-In-The-Middle                                         

Package         https-proxy-agent                                             

Patched in      >=3.0.0                                                       

Dependency of   @angular/cli [dev]                                            

Path            @angular/cli > @schematics/update > pacote >                  
                npm-registry-fetch > make-fetch-happen > https-proxy-agent    

More info       https://npmjs.com/advisories/1184

High            Machine-In-The-Middle                                         

Package         https-proxy-agent                                             

Patched in      >=3.0.0                                                       

Dependency of   @angular/cli [dev]                                            

Path            @angular/cli > pacote > npm-registry-fetch >                  
                make-fetch-happen > https-proxy-agent                         

More info       https://npmjs.com/advisories/1184

High            Machine-In-The-Middle                                         

Package         https-proxy-agent                                             

Patched in      >=3.0.0                                                       

Dependency of   protractor [dev]                                              

Path            protractor > browserstack > https-proxy-agent                 

More info       https://npmjs.com/advisories/1184

High            Machine-In-The-Middle                                         

Package         https-proxy-agent                                             

Patched in      >=3.0.0                                                       

Dependency of   protractor [dev]                                              

Path            protractor > saucelabs > https-proxy-agent                    

More info       https://npmjs.com/advisories/1184

angular npm
fuente

10

1) npm i --save-dev npm-force-resoluciones

2) Agregue esto a su paquete.json

"resoluciones": {"https-proxy-agent": "^ 3.0.0"}

3) Deje que npm-force-resoluciones haga lo suyo

rm -r node_modules
npx npm-force-resolutions
npm install

4) vuelva a ejecutar su auditoría npm audit.

Fuente: https://github.com/TooTallNate/node-https-proxy-agent/issues/84#issuecomment-543884972

José Luiz Gonzaga Neto
fuente

1

Esta solución funciona solo por una cantidad de tiempo y nuevamente surge el mismo problema

2

Soluciona problemas de CONSTRUIR y problemas generales de instalación:

package.json

{
  ...
  "scripts": {
     "resolve-install": "npx npm-force-resolutions && npm install"
  },
  "resolutions": {
    "https-proxy-agent": "^3.0.0"
  }
}

Luego, en lugar de npm installsimplemente correr cmdo Dockerfile:

npm run resolve-install

Kevin Upton
fuente

0

Eche un vistazo a este hilo: ¿Cómo anulo las versiones de dependencia NPM anidadas?

Simplemente reemplace los paquetes correspondientes por los que figuran en la auditoría.

baal
fuente

¿Cómo reparar estas vulnerabilidades? (El arreglo de auditoría npm no puede corregir estas vulnerabilidades)

Respuestas: