NPM-AUDIT encontra altas vulnerabilidades. O que eu deveria fazer?

13

npm audit executar no meu projeto e me trouxe isso

Dependência de injeção de alto comando de @ angular-devkit / build-angular [dev]

Diretório @ angular-devkit / build-angular> @ ngtools / webpack> tree-kill

Mais informações https://npmjs.com/advisories/1432

Injeção de alto comando

Pacote matança em árvore

Remendado em> = 1.2.2

Dependência de @ angular-devkit / build-angular [dev]

Diretório @ angular-devkit / build-angular> abate de árvores

Mais informações https://npmjs.com/advisories/1432

O abate de árvores precisa ser atualizado, mas é um dep de angular, não meu. E daí? Precisa esperar que a equipe angular atualize seu próprio package.json para uma versão mais recente do tree-kill?

— Nemus
fonte

11

Você pode corrigir isso sem esperar por uma nova versão do pacote @angular-devkit/build-angular.

Basta seguir os seguintes passos:

Atualize seu package.jsonarquivo adicionando a resolutionsseção com a versão adequada do pacote tree-kill:

"resolutions": {
  "tree-kill": "1.2.2"
}

Atualize seu package-lock.jsonexecutando o comando:

npx npm-force-resolutions

Reinstale os pacotes NPM no seu projeto:

rm -r node_modules
npm install

Execute npm auditpara verificar se o seu projeto não possui mais esse problema. E não esqueça de confirmar arquivos modificados package.jsone package-lock.json.

Mais informações sobre as resoluções de força do NPM .

— Yuri Beliakov
fonte

11

Eu estava com o mesmo problema hoje e o corrigi:

exclua o pacote tree-kill da pasta node_modules.
exclua o arquivo package-lock.json.
vá para a pasta @ angular-devkit / build-angular na pasta node_modules e edite o arquivo package.json; alterar a versão do kill-tree de 1.2.1 para 1.2.2
vá para a pasta @ ngtools / webpack na pasta node_modules e faça o mesmo que na etapa 3.

execute o npm install depois disso.

— saleem
fonte

11

Então, com essa correção, tenho que manter a pasta node_modules com o Git, certo?

— Loki

Não tenho certeza se a sua pergunta foi correta, mas você precisa confirmar as novas alterações após a nova instalação.

— salesem 13/01

11

editar manualmente suas dependências não é uma boa ideia, pois fazer uma nova instalação do projeto representará o problema

— Nemus

2

Eu também tive esse problema e depois de algumas pesquisas, encontrei algo:

O NPM lança erro na "correção de auditoria" - o registro configurado não é suportado

Claro, trata-se de um outro problema, mas, ao adaptar a solução fornecida, ele resolveu o meu problema.

Assim :

Exclua a pasta node_modules do tree-kill
Edite o arquivo package-lock.json como foi feito, mas com o módulo tree-kill.
Não se esqueça de executar o npm install no final

Espero ter sido claro o suficiente.

— arquelite
fonte

Como eu poderia editar o package-lock.json na segunda etapa se deveria ser excluído ao excluir a pasta node_modules de tree-kill na etapa 1?

— Mauricio Martinez

2

Verifique o repositório do GitHub para ver se uma correção está sendo trabalhada. Encontrei este problema: https://github.com/angular/angular-cli/issues/16629 e uma solicitação de recebimento ( https://github.com/angular/angular-cli/pull/15894 ) que remove a dependência.

— Peter G
fonte

0

Remova o pacote tree-kill da pasta node_modules e exclua
o arquivo package-lock.json.
Localize a pasta @ angular-devkit / build-angular na pasta node_modules e edite o arquivo package.json; altere a versão tree-kill de 1.2.1 para 1.2.2
Encontre @ ngtools / webpack na pasta node_modules e edite o arquivo package.json; alterar a versão do tree-kill de 1.2.1 para 1.2.2
execute a instalação do npm.

— sam0606
fonte

0

Adicione o código abaixo ao package.json

"resolutions": {
"tree-kill":"1.2.2"
}

Remova todos os módulos do nó:

rm -r node_modules

Atualize o package-lock.json para a nova versão 1.2.2 como:

npx npm-force-resolutions

Agora instale os módulos do nó:

npm install

Isso funciona para mim.

— rohit
fonte