问题出现:

在通过 `ng new hello-world` 命令新建项目时,项目出现以下警告:

found  high severity vulnerability

  run `npm audit fix` to fix them, or `npm audit` for details

命令分析:

扫描项目中的漏洞并自动将任何兼容的更新安装到易受攻击的依赖项:

$ npm audit fix [--force]

扫描项目中的漏洞并显示详细信息,而无需修复任何内容:

$ npm audit

以 JSON 格式获取详细的审计报告:

$ npm audit --json

未解决过程:

1.运行命令 `npm audit fix --force` 后出现提示:

fixed  of  vulnerability in  scanned packages

   vulnerability required manual review and could not be updated

2.运行命令 `npm audit --json` 获取审计结果:

npm audit --json

{

"actions": [

{

"action": "review",

"module": "tar",

"resolves": [

{

"id": ,

"path": "@angular-devkit/build-angular>node-sass>node-gyp>tar",

"dev": true,

"optional": true,

"bundled": false

}

]

}

],

"advisories": {

"": {

"findings": [

{

"version": "2.2.1",

"paths": [

"@angular-devkit/build-angular>node-sass>node-gyp>tar"

],

"dev": true,

"optional": true,

"bundled": false

}

],

"id": ,

"created": "2019-04-04T03:31:56.572Z",

"updated": "2019-04-12T15:52:56.353Z",

"deleted": null,

"title": "Arbitrary File Overwrite",

"found_by": {

"link": "",

"name": "Max Justicz"

},

"reported_by": {

"link": "",

"name": "Max Justicz"

},

"module_name": "tar",

"cves": [],

"vulnerable_versions": "<4.4.2",

"patched_versions": ">=4.4.2",

"overview": "Versions of `tar` prior to 4.4.2 are vulnerable to Arbitrary File Overwrite. Extracting tarballs containing a hardlink to a file that already exists in the system, and a file that matches the hardlink will overwrite the system's file with the contents of the extracted file.",

"recommendation": "Upgrade to version 4.4.2 or later.",

"references": "- [HackerOne Report](https://hackerone.com/reports/344595)",

"access": "public",

"severity": "high",

"cwe": "CWE-59",

"metadata": {

"module_type": "",

"exploitability": ,

"affected_components": ""

},

"url": "https://npmjs.com/advisories/803"

}

},

"muted": [],

"metadata": {

"vulnerabilities": {

"info": ,

"low": ,

"moderate": ,

"high": ,

"critical":

},

"dependencies": ,

"devDependencies": ,

"optionalDependencies": ,

"totalDependencies":

},

"runId": "8e446833-64cb-4b92-8bf0-f297c6ce45ab"

}

从打印结果中发现,node-gyp 依赖的 tar 包的版本过低,需要设置到 4.4.2 及以上版本。参考:https://www.npmjs.com/advisories/803

3.关于 node-gyp。

GYP,Generate Your Projects,一个 google 开源的构建系统,最开始用于 Chromium 项目,现在一些其他的开源项目也开始使用 GYP,如 V8 和 node-gyp。参考:http://erikge.com/articles/HelloGyp/

4.暂时用不到 node-gyp,挖好再填。

未解决:found 1 high severity vulnerability run `npm audit fix` to fix them, or `npm audit` for details的更多相关文章

  1. koa2第一天 安装koa2found 1 low severity vulnerability run `npm audit fix` to fix them, or `npm audit` for details

    安装全局koa2:npm install -g koa2 -generator 创建一个koa2文件夹:koa2 -e koa2 进入koa2文件夹:cd koa2 安装npm模块:npm insta ...

  2. OpenCV在ARM-linux上的移植过程遇到的问题3---共享库中嵌套库居然带路径【未解决】

    [Linux开发]OpenCV在ARM-linux上的移植过程遇到的问题3-共享库中嵌套库居然带路径[未解决] 标签(空格分隔): [Linux开发] 移植opencv到tq2440 一.下载open ...

  3. (未解决)flume监控目录,抓取文件内容推送给kafka,报错

    flume监控目录,抓取文件内容推送给kafka,报错: /export/datas/destFile/220104_YT1013_8c5f13f33c299316c6720cc51f94f7a0_2 ...

  4. 记录未解决的问题:docker中无法启动mysqld

    首先在docker中安装mysql server的包: sudo yum install mysql sudo yum install mariadb-server mariadb /usr/libe ...

  5. C/C++编译和链接过程详解 (重定向表,导出符号表,未解决符号表)

    详解link  有 些人写C/C++(以下假定为C++)程序,对unresolved external link或者duplicated external simbol的错误信息不知所措(因为这样的错 ...

  6. 直接请求json文件爬取天眼查企业信息(未解决验证码问题)——python3实现

    几个月前...省略一堆剧情...直接请求json文件爬取企业信息未成功,在知乎提问后,得到解决,有大佬说带上全部headers和cookie是可以的,我就又去试了下,果然可以(之前自己试的时候不行,没 ...

  7. 记一次未解决的异常:java.lang.NoClassDefFoundError: net/sf/json/JSONObject

    原因:Jetty会导致这个问题,Tomcat可以正常启动   一.异常产生现象 使用json-lib转换实体类/字符串,跑单元测试没问题,但是启动jetty后调用JSONArray.fromObjec ...

  8. Ajax返回中文乱码问题(未解决)

    (未解决) 暂时使用办法:改用返回Map<String,String>形式的返回值,在ajax中获取json形式的数据.

  9. openerp学习笔记 计算字段、关联字段(7.0中非计算字段、关联字段只读时无法修改保存的问题暂未解决)

    计算字段.关联字段,对象修改时自动变更保存(当 store=True 时),当 store=False 时,默认不支持过滤和分组7.0中非计算字段.关联字段只读时无法修改保存的问题暂未解决 示例代码: ...

随机推荐

  1. Ubuntu换阿里云源

    sudo -s cd /etc/apt gedit source.list deb http://mirrors.aliyun.com/ubuntu/ bionic main restricted u ...

  2. mysql查看库、表占用存储空间大小

    http://blog.csdn.net/bzfys/article/details/55252962 1. 查看该数据库实例下所有库大小,得到的结果是以MB为单位 <span class=&q ...

  3. Java并发编程实战 第10章 避免活跃性危险

    死锁 经典的死锁:哲学家进餐问题.5个哲学家 5个筷子 如果没有哲学家都占了一个筷子 互相等待筷子 陷入死锁 数据库设计系统中一般有死锁检测,通过在表示等待关系的有向图中搜索循环来实现. JVM没有死 ...

  4. NETCONF

    NETCONF协议(Network Configration Protocol) NETCONF是一个基于XML的交换机配置接口,用于替代CLI.SNMP等配置交换机. 本质上来说,NETCONF就是 ...

  5. CentOS升级乱七八糟问题解决

    ----------------------------------------------------------------- Error: Package: libgpod--.el7.x86_ ...

  6. LAMP网站架构方案解剖

    LAMP网站架构方案解剖 2011-03-18 10:46 月光 网络转载 字号:T | T 网站架构是比较考研技术的一件事,所以要对一种好用的工具,那么网站架构就会事半功倍,LAMP具有通用.跨平台 ...

  7. 树莓派开机自动启动Chomium浏览器并打开指定网页

    树莓派开机自动启动Chomium浏览器并打开指定网页 cd /home/pi/.config mkdir autostart cd autostart vi my.desktop [Desktop E ...

  8. Windows+anaconda+jupyter notebook+R+python3.6

    Windows+anaconda+jupyter notebook+R+python3.6 环境配置 1. 设置国内清华大学镜像 打开 anaconda prompt,输入命令 conda confi ...

  9. 【Leetcode】买卖股票-贪心算法

    题目: 给定一个数组,它的第 i 个元素是一支给定股票第 i 天的价格. 设计一个算法来计算你所能获取的最大利润.你可以尽可能地完成更多的交易(多次买卖一支股票). 注意:你不能同时参与多笔交易(你必 ...

  10. Mac 安装 MongoDB 数据库

    1. 使用 brew install mongodb 安装 (参见下图) 2. 安装成功如下图 (成功与否可参考 方框内字符) 3. 启动 MongoDB 数据库 3.1 先创建数据库存储目录 /da ...