J'ai récemment commencé un nouveau projet Vue.js. Après mon dernier commit GitHub, j'ai reçu l'avis Dependabot suivant:
Vulnérabilité de sécurité de gravité élevée connue détectée dans node-forge <0.10.0 défini dans package-lock.json. Mise à jour de package-lock.json suggérée: node-forge ~> 0.10.0.
Comment mettre à jour node-forge? J'ai exécuté le correctif d'audit npm.
node-forge est uniquement dans mon fichier package-lock.json et est requis par la dépendance "auto-signée".
4 Réponses :
Tu pourrais essayer
npm update
Cela devrait mettre à jour tous les packages vers la dernière version, en respectant les règles de contrôle de version sémantique dans votre package.json / package-lock.json.
Vous pouvez également essayer d'autoriser Dependabot à générer une pull request pour résoudre le problème. Si vous sélectionnez l'alerte elle-même, vous devriez voir un bouton comme celui-ci:
Cela tentera de créer une pull request (cela ne réussira pas toujours) et prendra généralement quelques minutes. Une fois que cela est terminé, vous pouvez revoir et fusionner.
La mise à jour npm semble avoir résolu ce problème. Merci à tous pour votre aide.
Au cas où la npm update ne le résout pas, je l'ai corrigé en supprimant package-lock.json & node_modules , puis en exécutant npm install pour recréer les deux.
Je pense que c'est une solution rapide et sale et peut ne pas être idéale pour le développement d'équipe, mais il s'agit d'une faille de sécurité de haute gravité vieille de plus de 3 semaines et qui doit être corrigée. Assurez-vous d'exécuter git diff sur package-lock.json et vérifiez qu'il n'a rien mis à jour qu'il ne devrait pas avoir.
Pour moi, Dependabot n'a pas créé de PR comme il le fait habituellement, car la faille était dans node-forge 0.9.0 et le correctif était dans 0.10.0, ce qui a auto-signé considéré comme un changement radical. npm audit n'a trouvé aucune vulnérabilité, & npm update effectué plusieurs mises à jour, mais n'a pas mis à jour node-forge à 0.10.0, ni auto-signé à 1.10.8 (qui met à jour sa référence de version de node-forge). J'utilisais webpack-dev-server 3.11.0 qui dépend de selfsigned ^ 1.10.7. Après avoir recréé package-lock.json , la référence webpack-dev-server était inchangée, mais les versions auto-signées et node-forge ont été mises à jour, ce qui est exactement ce que je voulais.
La vulnérabilité dans node-forge 0.9.0 a été corrigée dans selfsigned récemment. Essayez de mettre à jour votre auto-signature. Cela a résolu le problème pour moi. Veuillez vérifier le lien pour référence. Lien github auto-signé
node-forge@0.9.0 doit être mis à jour en node-forge@^0.10.0
rm -rf node-modules
rm package.lock
npm cache clean
npm i
rm -rf node_modules
rm yarn.lock
yarn cache clean
yarn
Cela devrait amener la bibliothèque qui utilise node-forge à mettre à jour ses propres dépendances.
La solution npm est incorrecte, cela devrait être rm -rf node_modules et si vous utilisez Windows, utilisez rm -r node_modules et rm pacakge-lock.json
Attendez, tout cela doit être fait? Qu'en est-il simplement d'exécuter npm install node-forge --save ?