web-dev-qa-db-ja.com

npm監査が何もしないときにreact-scripts v2.1.5でnpmパッケージブレースの問題を修正するにはどうすればよいですか?

私のreactクライアントフォルダーにあるNPMパッケージは、主にバージョン2.1.5のreact-scriptsパッケージのjestフォルダーにある中括弧パッケージに対処する63の脆弱性を与えています。 NPM監査の修正が機能しません。どうすればよいですか?

以前のバージョンのreact-scriptsにダウングレードし、package.jsonの更新、パッケージロックの削除、npm installの再実行、またはnpm update中かっこのいずれかによる中かっこの更新を試みましたが、2時間操作しても何も機能しませんでした。また、Github package.jsonが機能している場合は、以前のバージョンに戻そうとしました。 firebase-uiをダウンロードしようとした後、動作しなくなったと思いますが、ノードモジュールとnpmのインストールを数回削除したため、パッケージの更新に関係していると思います。

これが、混乱している私のクリーンなpackage.jsonです。

"webpack-dev-server": "3.1.14",
"@babel/core": "*",
"axios": "*",
"body-parser": "*",
"bootstrap": "*",
"cors": "*",
"dotenv": "*",
"draft-js": "*",
"draft-js-export-html": "*",
"errorhandler": "*",
"express": "*",
"express-session": "*",
"history": "*",
"jquery": "*",
"moment": "*",
"mongoose": "*",
"morgan": "*",
"node-sass-chokidar": "*",
"npm-run-all": "*",
"path": "*",
"query-string": "*",
"react": "*",
"react-dom": "*",
"react-loadable": "*",
"react-redux": "*",
"react-router-dom": "*",
"react-router-redux": "*",
"react-scripts": "*",
"react-validation": "*",
"reactstrap": "*",
"recharts": "*",
"redux": "*",
"redux-logger": "*",
"redux-observable": "*",
"redux-thunk": "*",
"rxjs": "*",
"rxjs-compat": "*",
"validator": "*"

そして、ここに私が得ている問題があります:

低い正規表現のサービス拒否

パッケージブレース

反応スクリプトの依存関係

パス反応スクリプト> jest> jest-cli> micromatch>中括弧

詳細 https://nodesecurity.io/advisories/786

11
CrumrineCoder

resolutionsフィールドの後にyarn installを付けると、同様の問題を解決できました-

  "resolutions": {
    "braces": "= 2.3.1"
  }

yarn.lockを調べて、関連する依存関係のみが更新されていることを確認しました。

このトピックの詳細はこちら https://github.com/yarnpkg/yarn/issues/4986

0
Anton