Что делать с сообщениями npm audit?

Question

[ihabia]

Господа, дайте совет - как бороться с сообщениями npm об уязвимостях, после установки определенного пакета:

found 8 vulnerabilities (2 low, 2 moderate, 4 high) in 8288 scanned packages
   vulnerabilities require manual review. See the full report for details.

Почитал здесь и в интернете, но никаких конкретных действий не описывается. Единственное что советуют удалить node_modules и package-lock и инсталировать npm заного - npm i
Это не помогает. Возможно кто-то решил данный вопрос, поделитесь?
P.S.: Важны ли вообще эти сообщения или можно отключить как то?

Answer 1

[Александр]

Доброго дня!

Реагировать хотя бы на уязвимости уровня high пожалуй стоит.
Обычно npm подсказывает, какую команду запустить, чтобы устранить угрозу.
Выполните
npm audit
И следуйте его советам, как правило, это помогает.

Сама по себе команда
npm i
не устанавливает новую версию пакета, если в зависимостях указаны конкретные версии (или диапазоны версий).

Comments

[ihabia]

Александр, пробовал и "npm audit fix" как указано было, но ни одной уязвимости не решил, пробовал "npm update" , тоже не помогло, т.к. обновлять дальше некуда )

[Александр]

Покажите, пожалуйста, что выводит npm audit.

Там фикс бывает довольно мудреный и он сам предлагает правильную команду. Скорее всего, уязвимые зависимости находятся на нескольких уровнях вглубь.

[ihabia]

Александр, вот самый первый, а что с этим делать ума не приложу:

High            Prototype Pollution



  Package         lodash



  Patched in      >=4.17.11



  Dependency of   gulp-uncss [dev]



  Path            gulp-uncss > uncss > lodash



  More info       https://npmjs.com/advisories/782

[Александр]

Так как пакет gulp-uncss больше не поддерживается и обновлений не будет, лучше всего будет отказаться от его использования.
Разработчик описал, как это сделать:
https://github.com/ben-eb/gulp-uncss/blob/master/R...

[ihabia]

Александр, да, спс, я уже смотрю в эту сторону ... но думаю такие плагины ещё будут ) например тоже самое было с gulp-sass, но каким то чудесным образом, методом всяких проб, уязвимости решились, вот только я не понял как я это сделал, а с этим пакетом gulp-uncss ну не в какую )

[ihabia]

Александр, извиняюсь, что в этот вопрос пишу, возможно глупый вопрос, но я так и не нашел вразумительной информации - как правильно подключать сторонние библиотеки. Вот я например установил Jquery, она лежит в папке node_modules. И на страничку, я прямо так и подключаю:

<script src="../node_modules/jquery/dist/jquery.min.js"></script>

Но я думаю это топорно как то ... может есть автоматический способ или плагин для этого, поделитесь как грамотно это делать )

[Александр]

Лучше всего почитать на сайте jQuery, что подойдёт именно к вашей ситуации и какой способ подключения выбрать.

Если у вас npm, то видимо нужны webpack или parcel и т.п.

Если вы управляете итоговой страницей сами, то просто добавьте ссылку на jQuery из какого-нибудь поставщика ресурсов CDN.