NPMパッケージTarを修正するには、パッケージが最新の場合、任意のファイルの上書きに関する脆弱性が高いですか?
NPMからFlickityをインストールし、npm auditの実行後にNPM監査セキュリティレポートを取得しました。パッケージ tar に任意のファイルの上書きに関する高い脆弱性の問題があると述べています。これは、 node-sass の依存関係です。
High......................... Arbitrary File Overwrite
Package...................... tar
Patched in................... >=4.4.2
Dependency of................ node-sass [dev]
Path......................... node-sass > node-gyp > tar
More info.................... https://npmjs.com/advisories/803
脆弱性を手動で確認する必要があるため、npm audit fixを実行しても問題は解決しませんでした。 詳細情報リンクでの推奨事項は、バージョン4.4.2以降にアップグレードすることです。 npm show tar versionを実行したところ、バージョン4.4.8を実行していることがわかり、混乱しました。 package-lock.jsonに行って、node-sassの依存関係である node-gypがtarバージョン^ 2.0.0 を使用していることを認識しました
他のパッケージの依存関係としてさまざまなtarバージョンを見てきたので、これは私を混乱させますが、これはnode-sass > node-gyp > tar versionがv4.4.2の唯一の1つです。 手動で修正する必要がある理由と、この1つのtarパッケージを手動で修正/アップグレードするにはどうすればよいですか?
問題はgitgubページで追跡されています
「package-lock.json」ファイルの「tar」の値を更新してください。確認するには、「[npm audit][1] "。
"tar": {
"version": "4.4.8",
"resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",
"integrity": "value",
"dev": true,
"optional": true,
"requires": {
"block-stream": "*",
"fstream": "^1.0.2",
"inherits": "2"
}
}
Package-lock.jasonで、ノードのtarを以下に更新します(v 4.4.8):
"バージョン": "4.4.8"、 "解決済み": " https://registry.npmjs.org/tar/-/tar-4.4.8.tgz "
SASS github issue から:open package-lock.json "tar"を検索これは次のようになります。
"version": "2.2.1",
"resolved": "https://registry.npmjs.org/tar/-/tar-2.2.1.tgz",
"integrity": "sha1-jk0qJWwOIYXGsYrWlK7JaLg8sdE=",
これらの3行を次で置き換えます。
"version": "4.4.8",
"resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",
"integrity": "sha512-LzHF64s5chPQQS0IYBn9IN5h3i98c12bo4NCO7e0sGM2llXQ3p2FGC5sdENN4cTW48O915Sh+x+EXx7XW96xYQ==",
フォルダを削除します。
node_modules\npm
npm i
npm audit fix
npm audit
多田!