#reactjs #dependencies #npm-install #npm-audit
#reactjs ( реакция ) #зависимости #npm-установка #npm-аудит #reactjs #npm-install
Вопрос:
Я следую руководству на YouTube и раздвоил репозиторий. После запуска npm install я получаю следующее:
found 45634 vulnerabilities (42263 low, 21 moderate, 3349 high, 1 critical) in 1547 scanned packages
run `npm audit fix` to fix 45333 of them.
301 vulnerabilities require manual review. See the full report for details.
Поскольку я не совсем уверен, что делает исправление аудита npm, я не решаюсь выполнить команду.
Я запустил аудит npm, который дал мне список. Вот фрагмент :
Moderate Regular Expression Denial of Service
Package acorn
Patched in >=5.7.4 <6.0.0 || >=6.4.1 <7.0.0 || >=7.1.1
Dependency of react-scripts
Path react-scripts > jest > jest-cli > jest-config >
jest-environment-jsdom > jsdom > acorn
More info https://npmjs.com/advisories/1488
После прочтения некоторых форумов люди предлагают проигнорировать предупреждение или удалить package-lock.json и снова запустить npm install. Не пробовал ни одно из этих решений. Собирался сначала спросить здесь, прежде чем слепо следовать совету, который я прочитал на каком-то форуме.
Спасибо за любую помощь.
Ответ №1:
Поскольку вы просто следуете руководству, я бы проигнорировал уязвимости, в большинстве случаев это просто устаревшие пакеты, которые не обновлялись для устранения этих уязвимостей.
Комментарии:
1. Да, кажется, что репозиторий немного устарел и давно не обновлялся. Я не особо углублялся в функциональность npm и просто собирался убедиться, что я ничего не нарушаю. После прочтения документов кажется, что исправление аудита просто обновляет совместимые зависимости и исключает обновления, которые могут нарушить проект. Я приму это как ответ на мой вопрос. Спасибо.