nsp依赖库检查工具: nodejs的依赖库的依赖库有问题怎么办
发布于 7 年前 作者 18820227745 1874 次浏览 来自 问答

做了一个项目有nsp工具检查了一下依赖库的安全性。 这是其中一个结果: ┌────────────┬────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├────────────┼────────────────────────────────────────────────────────────────────┤ │ Name │ minimatch │ ├────────────┼────────────────────────────────────────────────────────────────────┤ │ CVSS │ 7.5 (High) │ ├────────────┼────────────────────────────────────────────────────────────────────┤ │ Installed │ 2.0.10 │ ├────────────┼────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <=3.0.1 │ ├────────────┼────────────────────────────────────────────────────────────────────┤ │ Patched │ >=3.0.2 │ ├────────────┼────────────────────────────────────────────────────────────────────┤ │ Path │ kails@0.1.0 > gulp@3.9.1 > vinyl-fs@0.3.14 > glob-stream@3.1.18 > │ │ │ minimatch@2.0.10 │ ├────────────┼────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/118 │ └────────────┴────────────────────────────────────────────────────────────────────┘

minimatch@2.0.10 版本有问题,但是它是 gulp@3.9.1(最新)的依赖库的依赖的依赖。完全没法改呀,请问什么好的建议可以解决这个问题。

回到顶部