问题出现:

在通过 `ng new hello-world` 命令新建项目时,项目出现以下警告:

found  high severity vulnerability

  run `npm audit fix` to fix them, or `npm audit` for details

命令分析:

扫描项目中的漏洞并自动将任何兼容的更新安装到易受攻击的依赖项:

$ npm audit fix [--force]

扫描项目中的漏洞并显示详细信息,而无需修复任何内容:

$ npm audit

以 JSON 格式获取详细的审计报告:

$ npm audit --json

未解决过程:

1.运行命令 `npm audit fix --force` 后出现提示:

fixed  of  vulnerability in  scanned packages

   vulnerability required manual review and could not be updated

2.运行命令 `npm audit --json` 获取审计结果:

npm audit --json

{

"actions": [

{

"action": "review",

"module": "tar",

"resolves": [

{

"id": ,

"path": "@angular-devkit/build-angular>node-sass>node-gyp>tar",

"dev": true,

"optional": true,

"bundled": false

}

]

}

],

"advisories": {

"": {

"findings": [

{

"version": "2.2.1",

"paths": [

"@angular-devkit/build-angular>node-sass>node-gyp>tar"

],

"dev": true,

"optional": true,

"bundled": false

}

],

"id": ,

"created": "2019-04-04T03:31:56.572Z",

"updated": "2019-04-12T15:52:56.353Z",

"deleted": null,

"title": "Arbitrary File Overwrite",

"found_by": {

"link": "",

"name": "Max Justicz"

},

"reported_by": {

"link": "",

"name": "Max Justicz"

},

"module_name": "tar",

"cves": [],

"vulnerable_versions": "<4.4.2",

"patched_versions": ">=4.4.2",

"overview": "Versions of `tar` prior to 4.4.2 are vulnerable to Arbitrary File Overwrite. Extracting tarballs containing a hardlink to a file that already exists in the system, and a file that matches the hardlink will overwrite the system's file with the contents of the extracted file.",

"recommendation": "Upgrade to version 4.4.2 or later.",

"references": "- [HackerOne Report](https://hackerone.com/reports/344595)",

"access": "public",

"severity": "high",

"cwe": "CWE-59",

"metadata": {

"module_type": "",

"exploitability": ,

"affected_components": ""

},

"url": "https://npmjs.com/advisories/803"

}

},

"muted": [],

"metadata": {

"vulnerabilities": {

"info": ,

"low": ,

"moderate": ,

"high": ,

"critical":

},

"dependencies": ,

"devDependencies": ,

"optionalDependencies": ,

"totalDependencies":

},

"runId": "8e446833-64cb-4b92-8bf0-f297c6ce45ab"

}

从打印结果中发现,node-gyp 依赖的 tar 包的版本过低,需要设置到 4.4.2 及以上版本。参考:https://www.npmjs.com/advisories/803

3.关于 node-gyp。

GYP,Generate Your Projects,一个 google 开源的构建系统,最开始用于 Chromium 项目,现在一些其他的开源项目也开始使用 GYP,如 V8 和 node-gyp。参考:http://erikge.com/articles/HelloGyp/

4.暂时用不到 node-gyp,挖好再填。

未解决:found 1 high severity vulnerability run `npm audit fix` to fix them, or `npm audit` for details的更多相关文章

  1. koa2第一天 安装koa2found 1 low severity vulnerability run `npm audit fix` to fix them, or `npm audit` for details

    安装全局koa2:npm install -g koa2 -generator 创建一个koa2文件夹:koa2 -e koa2 进入koa2文件夹:cd koa2 安装npm模块:npm insta ...

  2. OpenCV在ARM-linux上的移植过程遇到的问题3---共享库中嵌套库居然带路径【未解决】

    [Linux开发]OpenCV在ARM-linux上的移植过程遇到的问题3-共享库中嵌套库居然带路径[未解决] 标签(空格分隔): [Linux开发] 移植opencv到tq2440 一.下载open ...

  3. (未解决)flume监控目录,抓取文件内容推送给kafka,报错

    flume监控目录,抓取文件内容推送给kafka,报错: /export/datas/destFile/220104_YT1013_8c5f13f33c299316c6720cc51f94f7a0_2 ...

  4. 记录未解决的问题:docker中无法启动mysqld

    首先在docker中安装mysql server的包: sudo yum install mysql sudo yum install mariadb-server mariadb /usr/libe ...

  5. C/C++编译和链接过程详解 (重定向表,导出符号表,未解决符号表)

    详解link  有 些人写C/C++(以下假定为C++)程序,对unresolved external link或者duplicated external simbol的错误信息不知所措(因为这样的错 ...

  6. 直接请求json文件爬取天眼查企业信息(未解决验证码问题)——python3实现

    几个月前...省略一堆剧情...直接请求json文件爬取企业信息未成功,在知乎提问后,得到解决,有大佬说带上全部headers和cookie是可以的,我就又去试了下,果然可以(之前自己试的时候不行,没 ...

  7. 记一次未解决的异常:java.lang.NoClassDefFoundError: net/sf/json/JSONObject

    原因:Jetty会导致这个问题,Tomcat可以正常启动   一.异常产生现象 使用json-lib转换实体类/字符串,跑单元测试没问题,但是启动jetty后调用JSONArray.fromObjec ...

  8. Ajax返回中文乱码问题(未解决)

    (未解决) 暂时使用办法:改用返回Map<String,String>形式的返回值,在ajax中获取json形式的数据.

  9. openerp学习笔记 计算字段、关联字段(7.0中非计算字段、关联字段只读时无法修改保存的问题暂未解决)

    计算字段.关联字段,对象修改时自动变更保存(当 store=True 时),当 store=False 时,默认不支持过滤和分组7.0中非计算字段.关联字段只读时无法修改保存的问题暂未解决 示例代码: ...

随机推荐

  1. Delphi简介

  2. Git入门指南九:远程仓库的使用【转】

    转自:http://blog.csdn.net/wirelessqa/article/details/20152651 版权声明:本文为博主原创文章,未经博主允许不得转载.   目录(?)[-] 十三 ...

  3. 9- 基于6U VPX的 XC7VX690T+C6678的双FMC接口雷达通信处理板 C6678板卡

    基于6U VPX的 XC7VX690T+C6678的双FMC接口雷达通信处理板   一.板卡概述 高性能VPX信号处理板基于标准6U VPX架构,提供两个标准FMC插槽,适用于电子对抗或雷达信号等领域 ...

  4. 【30分钟学完】canvas动画|游戏基础(7):动量守恒与多物体碰撞

    前言 一路沿着本系列教程学习的朋友可能会发现,前面教程中都尽量避免提及质量的概念,很多运动概念也时刻提醒大家这不是真实的物体运动.因为真实的物体运动其实跟质量都是密不可分的,而且质量的引入自然必须提及 ...

  5. 第四篇:存储库之mongodb、redis、mysql

    MongoDB的简单操作 一.简介 二.MongoDB基础知识 三.安装 四.基本数据类型 五.增删改查操作 六.可视化工具 七.pymongo 一.简介 MongoDB是一款强大.灵活.且易于扩展的 ...

  6. git学习补充

    关系图 git checkout -- target 放弃 cached 中 对 target 文件内容已作的修改 git checkout . 放弃当前目录下对于 cached 的所有修改. 对比: ...

  7. h5页面ios键盘弹出收起后页面底部留白问题

    <input placeholder="验证码" type="tel" v-model="verify" maxlength=&quo ...

  8. python出现SyntaxError: Non-ASCII character '\xe6' in file \的错误

    出现这个问题的主要原因是因为python2的编码是ASCII码,文件中有中文的话就得使用utf8编码,只需要在文件的头部加上以下其中一种标注: 一.在文件头部添加如下注释码: # coding=< ...

  9. layui 获取iframe层的window

    success: function (layero, index) { var iframeWin = $("div.layui-layer-content > iframe" ...

  10. 设置HTML的TextArea标记跟随文本内容自动设置高度

    写内容的时候用的是textarea来写,可以换行,然后预览页面也要显示是换行才行,所以预览页面还是要用textarea来显示, 样式去掉边框,不可以拉伸,不可编辑 // html <textar ...