修复 JS 项目中的包安全漏洞的步骤

当您安装的软件包或其依赖项中检测到安全漏洞时，Github 会定期向您发送警报。我曾经尝试让 dependentabot 帮我修复它们。然而，有一半的时间我无法合并为我生成的 PR。结果，违规行为就被赤裸裸地处理了，这可不好。就我而言，我使用 pnpm，我想它与 npm 相同。

我今天看到了 Niraj Chauhan 的这篇文章，它让我了解了如何使用终端来解决这些问题。

步骤：

• 您从 Github 收到 dependentabot 警报：

• 我知道，上面屏幕截图中的包名称与文章的其余部分不匹配。但这是关于步骤的，你明白了。
• 导航到您计算机中的项目并运行 pnpmaudit。您应该会看到有关漏洞的详细信息：

• 在路径部分，您应该看到导致此问题的原因。就我而言，它似乎是“嵌套依赖项”（依赖项的依赖项）。

• 您可以运行 pnpm Why NAME_OF_THE_EXTENSION 来确认上述内容。就我而言，当我在第一个漏洞上运行它时，我得到了这个：pnpm Why netmask

• 您可以尝试运行 pnpmauditfix，但它对我不起作用。

• 打开 package.json 并更新导致此问题的包版本 - 在我的例子中为 mailgun-js。您可以运行 pnpm view NAME_OF_THE_PACKAGE versions 查看所有版本，或运行 pnpm info NAME_PACKAGE version 了解最新的稳定版本。

如果不同，请使用您需要的版本编辑 package.json 文件，然后再次运行 pnpm i。之后，再次运行 pnpmaudit 以确认漏洞已消失。如果它仍然存在，请重新开始或继续阅读。

• 就我而言，我安装的是最新的稳定版本，所以我需要采取另一种方法。

• 我们可以强制 pnpm 安装特定版本的嵌套依赖项。 pnpm 文档在这里，您可以在 package.json 文件中这样做：

• 我尝试覆盖的版本出现错误，因此我在 package.json 文件中写入了最新版本：

• 运行 pnpm i 和 happy days，该软件包的漏洞不再存在。

编辑 25/10：根据此 Stackoverflow 线程，Github dependentabot 和 pnpm 审核源都来自同一数据库，因此您不会错过漏洞，而是以这种方式修复问题，而不是使用 dependentabot 工作流程。还有这篇博文。

以上是修复 JS 项目中的包安全漏洞的步骤的详细内容。更多信息请关注PHP中文网其他相关文章！