NPM-AUDIT उच्च भेद्यता का पता लगाता है। मुझे क्या करना चाहिए?

13

npm audit मेरे प्रोजेक्ट पर चलें और मुझे यह मिले

हाई कमान इंजेक्शन
@ कोणीय-देवकित / बिल्ड-कोणीय [देव] की निर्भरता

पथ @ कोणीय-देवकित / बिल्ड-कोणीय> @ नेकट्स / वेबपैक> ट्री-किल

अधिक जानकारी https://npmjs.com/advisories/1432

हाई कमांड इंजेक्शन

पैकेज ट्री-किल

पैच = = 1.2.2 में

@ कोणीय-देवकित / निर्माण-कोणीय [देव] की निर्भरता

पथ @ कोणीय-देवकित / बिल्ड-कोणीय> वृक्ष-हत्या

अधिक जानकारी https://npmjs.com/advisories/1432

ट्री-किल को अद्यतन करने की आवश्यकता है, लेकिन कोणीय का एक चित्रण है, मेरा नहीं। तो क्या? प्रतीक्षा करने की आवश्यकता है कि कोणीय-टीम अपने पैकेज को अपडेट करें। ट्री-किल के एक नए संस्करण में जाएं।

— Nemus
स्रोत

11

आप पैकेज के नए संस्करण की प्रतीक्षा किए बिना इसे ठीक कर सकते हैं @angular-devkit/build-angular।

बस निम्न चरण करें:

पैकेज के उचित संस्करण के साथ अनुभाग package.jsonजोड़कर अपनी फ़ाइल को अपडेट करें :resolutionstree-kill

"resolutions": {
  "tree-kill": "1.2.2"
}

package-lock.jsonकमांड चलाकर अपना अपडेट करें :

npx npm-force-resolutions

अपनी परियोजना में एनपीएम संकुल को पुनः स्थापित करें:

rm -r node_modules
npm install

भागो npm auditदेखना होगा कि आपकी परियोजना अब इस समस्या नहीं है। और संशोधित फ़ाइलों package.jsonऔर प्रतिबद्ध करने के लिए मत भूलना package-lock.json।

एनपीएम बल संकल्पों के बारे में अधिक जानकारी ।

— यूरी बेलियाकोव
स्रोत

11

मुझे आज भी यही समस्या हो रही थी और मैंने इसे ठीक कर लिया:

नोड_मॉडल फ़ोल्डर से ट्री-किल पैकेज हटाएं।
पैकेज- lock.json फ़ाइल हटाएं।
नोड_मॉड्यूल फ़ोल्डर में @ कोणीय-देवकिट / बिल्ड-कोणीय फ़ोल्डर पर जाएं और पैकेज को संपादित करें। फ़ाइल को खोलें; 1.2.1 से 1.2.2 तक ट्री-किल संस्करण बदलें
नोड_मॉड्यूल्स फ़ोल्डर में @ एनसीटीओल्स / वेबपैक फ़ोल्डर पर जाएं और चरण 3 के समान करें।

उसके बाद npm इंस्टॉल रन करें।

— सलीम
स्रोत

1

तो इस फिक्स से, मुझे सही के साथ नोड_मॉडल फ़ोल्डर रखना है?

— लोकी

मुझे यकीन नहीं है कि मुझे आपका प्रश्न सही मिला है, लेकिन आपको नई स्थापना के बाद नए बदलाव करने की आवश्यकता है।

— सेल्समैन

1

मैन्युअल रूप से संपादित करना आपकी निर्भरता एक अच्छा विचार नहीं है, क्योंकि परियोजना की एक नई स्थापना इस मुद्दे का प्रतिनिधित्व करेगी

— नेमस

2

मुझे अभी भी यह समस्या थी और कुछ शोधों के बाद, मैंने कुछ पाया:

एनपीएम "ऑडिट फिक्स" पर त्रुटि फेंकता है - कॉन्फ़िगर रजिस्ट्री समर्थित नहीं है

बेशक, यह एक अन्य समस्या के बारे में है, लेकिन वहां दिए गए समाधान को अपनाने से, इसने मेरी समस्या को हल कर दिया।

इसलिए :

ट्री-किल के नोड_मॉडल फ़ोल्डर को हटाएं
पैकेज-लॉक संपादित करें। जेसन फ़ाइल की तरह यह किया जाता है, लेकिन इसके बजाय ट्री-किल मॉड्यूल के साथ।
अंत में npm स्थापित चलाने के लिए मत भूलना

मुझे आशा है कि मैं पर्याप्त स्पष्ट हो गया हूँ।

— archelite
स्रोत

यदि मैं चरण 1 में ट्री-किल के नोड_मॉड्यूल फ़ोल्डर को हटाते समय इसे हटाना चाहता था, तो दूसरे चरण में पैकेज-लॉक को कैसे संपादित कर सकता हूं?

— मौरिसियो मार्टिनेज

2

एक फिक्स पर काम किया जा रहा है या नहीं यह देखने के लिए गिटहब रेपो की जाँच करें। मुझे यह मुद्दा मिला: https://github.com/angular/angular-cli/issues/16629 और एक पुल अनुरोध ( https://github.com/angular/angular-cli/pull/15894 ) जो निर्भरता को दूर करता है।

— पीटर जी
स्रोत

0

नोड_मॉडल्स फ़ोल्डर से ट्री-किल पैकेज निकालें और
पैकेज-लॉक को हटा दें । फ़ाइल को खोलें।
नोड_मॉड्यूल फ़ोल्डर में @ कोणीय-देवकिट / बिल्ड-कोणीय फ़ोल्डर ढूंढें और पैकेज को संपादित करें। फ़ाइल को खोलें; 1.2.1 से 1.2.2 तक ट्री-किल संस्करण बदलें
। नोड_मॉडल फ़ोल्डर में @ एनसीटी / वेबपैक ढूंढें और पैकेज को संपादित करें। जेसन फ़ाइल; 1.2.1 से 1.2.2 तक ट्री-किल संस्करण बदलें
एनपीएम इंस्टॉल करें।

— sam0606
स्रोत

0

पैकेज के नीचे कोड जोड़ें। json

"resolutions": {
"tree-kill":"1.2.2"
}

सभी नोड मॉड्यूल निकालें:

rm -r node_modules

नए संस्करण 1.2.2 के लिए पैकेज-लॉक.जॉन को अपडेट करें:

npx npm-force-resolutions

अब नोड मॉड्यूल स्थापित करें:

npm install

यह मेरे लिए काम करता है।

— रोहित
स्रोत