问题出现:

在通过 `ng new hello-world` 命令新建项目时,项目出现以下警告:

found  high severity vulnerability

  run `npm audit fix` to fix them, or `npm audit` for details

命令分析:

扫描项目中的漏洞并自动将任何兼容的更新安装到易受攻击的依赖项:

$ npm audit fix [--force]

扫描项目中的漏洞并显示详细信息,而无需修复任何内容:

$ npm audit

以 JSON 格式获取详细的审计报告:

$ npm audit --json

未解决过程:

1.运行命令 `npm audit fix --force` 后出现提示:

fixed  of  vulnerability in  scanned packages

   vulnerability required manual review and could not be updated

2.运行命令 `npm audit --json` 获取审计结果:

npm audit --json

{

"actions": [

{

"action": "review",

"module": "tar",

"resolves": [

{

"id": ,

"path": "@angular-devkit/build-angular>node-sass>node-gyp>tar",

"dev": true,

"optional": true,

"bundled": false

}

]

}

],

"advisories": {

"": {

"findings": [

{

"version": "2.2.1",

"paths": [

"@angular-devkit/build-angular>node-sass>node-gyp>tar"

],

"dev": true,

"optional": true,

"bundled": false

}

],

"id": ,

"created": "2019-04-04T03:31:56.572Z",

"updated": "2019-04-12T15:52:56.353Z",

"deleted": null,

"title": "Arbitrary File Overwrite",

"found_by": {

"link": "",

"name": "Max Justicz"

},

"reported_by": {

"link": "",

"name": "Max Justicz"

},

"module_name": "tar",

"cves": [],

"vulnerable_versions": "<4.4.2",

"patched_versions": ">=4.4.2",

"overview": "Versions of `tar` prior to 4.4.2 are vulnerable to Arbitrary File Overwrite. Extracting tarballs containing a hardlink to a file that already exists in the system, and a file that matches the hardlink will overwrite the system's file with the contents of the extracted file.",

"recommendation": "Upgrade to version 4.4.2 or later.",

"references": "- [HackerOne Report](https://hackerone.com/reports/344595)",

"access": "public",

"severity": "high",

"cwe": "CWE-59",

"metadata": {

"module_type": "",

"exploitability": ,

"affected_components": ""

},

"url": "https://npmjs.com/advisories/803"

}

},

"muted": [],

"metadata": {

"vulnerabilities": {

"info": ,

"low": ,

"moderate": ,

"high": ,

"critical":

},

"dependencies": ,

"devDependencies": ,

"optionalDependencies": ,

"totalDependencies":

},

"runId": "8e446833-64cb-4b92-8bf0-f297c6ce45ab"

}

从打印结果中发现,node-gyp 依赖的 tar 包的版本过低,需要设置到 4.4.2 及以上版本。参考:https://www.npmjs.com/advisories/803

3.关于 node-gyp。

GYP,Generate Your Projects,一个 google 开源的构建系统,最开始用于 Chromium 项目,现在一些其他的开源项目也开始使用 GYP,如 V8 和 node-gyp。参考:http://erikge.com/articles/HelloGyp/

4.暂时用不到 node-gyp,挖好再填。

未解决:found 1 high severity vulnerability run `npm audit fix` to fix them, or `npm audit` for details的更多相关文章

  1. koa2第一天 安装koa2found 1 low severity vulnerability run `npm audit fix` to fix them, or `npm audit` for details

    安装全局koa2:npm install -g koa2 -generator 创建一个koa2文件夹:koa2 -e koa2 进入koa2文件夹:cd koa2 安装npm模块:npm insta ...

  2. OpenCV在ARM-linux上的移植过程遇到的问题3---共享库中嵌套库居然带路径【未解决】

    [Linux开发]OpenCV在ARM-linux上的移植过程遇到的问题3-共享库中嵌套库居然带路径[未解决] 标签(空格分隔): [Linux开发] 移植opencv到tq2440 一.下载open ...

  3. (未解决)flume监控目录,抓取文件内容推送给kafka,报错

    flume监控目录,抓取文件内容推送给kafka,报错: /export/datas/destFile/220104_YT1013_8c5f13f33c299316c6720cc51f94f7a0_2 ...

  4. 记录未解决的问题:docker中无法启动mysqld

    首先在docker中安装mysql server的包: sudo yum install mysql sudo yum install mariadb-server mariadb /usr/libe ...

  5. C/C++编译和链接过程详解 (重定向表,导出符号表,未解决符号表)

    详解link  有 些人写C/C++(以下假定为C++)程序,对unresolved external link或者duplicated external simbol的错误信息不知所措(因为这样的错 ...

  6. 直接请求json文件爬取天眼查企业信息(未解决验证码问题)——python3实现

    几个月前...省略一堆剧情...直接请求json文件爬取企业信息未成功,在知乎提问后,得到解决,有大佬说带上全部headers和cookie是可以的,我就又去试了下,果然可以(之前自己试的时候不行,没 ...

  7. 记一次未解决的异常:java.lang.NoClassDefFoundError: net/sf/json/JSONObject

    原因:Jetty会导致这个问题,Tomcat可以正常启动   一.异常产生现象 使用json-lib转换实体类/字符串,跑单元测试没问题,但是启动jetty后调用JSONArray.fromObjec ...

  8. Ajax返回中文乱码问题(未解决)

    (未解决) 暂时使用办法:改用返回Map<String,String>形式的返回值,在ajax中获取json形式的数据.

  9. openerp学习笔记 计算字段、关联字段(7.0中非计算字段、关联字段只读时无法修改保存的问题暂未解决)

    计算字段.关联字段,对象修改时自动变更保存(当 store=True 时),当 store=False 时,默认不支持过滤和分组7.0中非计算字段.关联字段只读时无法修改保存的问题暂未解决 示例代码: ...

随机推荐

  1. opencv-python用原图和mask实现抠图

    1.先上图 原图:test1.png mask图:test-mask.png 结果图:mask.png 2.代码部分 import cv2 from PIL import Image import n ...

  2. java面试(集合类)03

    1.Collection 和 Collections 有什么区别? Collection 是一个集合接口,它提供了对集合对象进行基本操作的通用接口方法,所有集合都是它的子类,比如 List.Set 等 ...

  3. Java学习03-进制学习

    计算机中是以二进制来进行数据传递的,二进制分为二进制.八进制.十进制.十六进制 而他们之间如何进行转换呢,二进制作为元,其他进制都是经二进制进行换算的,所以无论什么进制之间的转换都是先转换为二进制,再 ...

  4. java poi 操作

    Java POI 操作Excel(读取/写入) https://www.cnblogs.com/dzpykj/p/8417738.html Java操作Excel之Poi基本操作 https://my ...

  5. DevExpress WPF v19.1新版亮点:Data Editors等控件新功能

    行业领先的.NET界面控件DevExpress 日前正式发布v19.1版本,本站将以连载的形式介绍各版本新增内容.在本系列文章中将为大家介绍DevExpress WPFv19.1中新增的一些控件及部分 ...

  6. Python 分页和shell命令行模式

    前言 除了手动添加你的文章后外,你还可以用命令行来添加,python 自带了一种命令行 就是 shell 快速添加博文:Shell命令行模式 在你的目录下:mysite python manage.p ...

  7. windows窗口启动redis

    必须先得配置好环境变量,才能在窗口开启 启动服务端:redis-server 启动客户端:redis-cli

  8. CodeForces-721A-One-dimensional Japanese Crossword

    链接: https://vjudge.net/problem/CodeForces-721A 题意: Recently Adaltik discovered japanese crosswords. ...

  9. 正则化方法L1 L2

    转载:http://blog.csdn.net/u012162613/article/details/44261657(请移步原文) 正则化方法:防止过拟合,提高泛化能力 在训练数据不够多时,或者ov ...

  10. $.param()序列化对象

    1.$.param(): param() 方法创建数组或对象的序列化表示形式. 序列化的值可在生成 AJAX 请求时用于 URL 查询字符串中. 第一行是原始数据,第二行是序列化后的.$.param( ...