依赖安全
本话题发布依赖安全相关的问答文章和技术分享,将持续更新,为您推荐了10篇问答,访问即可查看更多精彩内容。
-
1
回答
38浏览
前端项目里引入的第三方CSS库会不会带来供应链安全风险?
最近在用一个开源的UI组件库,直接通过CDN引入了它的CSS文件,但听说依赖外部资源可能有安全问题。比如会不会被注入恶意样式或者重定向到钓鱼页面?我试过本地托管,但更新太麻烦。 下面是我现在用的那段C...
-
1
回答
41浏览
Ddependabot 自动创建的 PR 为什么没触发 CI?
我项目里启用了 Dependabot,它确实会自动提交依赖更新的 PR。但奇怪的是,这些 PR 没有触发 GitHub Actions 的 CI 流程,而我自己手动开的 PR 都正常跑 CI。是不是 ...
-
2
回答
121浏览
npm audit 报了高危漏洞,但我不想升级依赖怎么办?
我跑 npm audit 发现有个依赖有高危漏洞,但项目里用的是老版本,升级会破坏现有功能。有没有办法忽略这个漏洞或者临时绕过? 试过加 --omit=dev 也没用,还是报同样的问题。现在 CI 流...
-
2
回答
202浏览
yarn.lock 里的依赖有安全漏洞,删了重装就行吗?
我们项目最近用 GitHub 的 Dependabot 扫出几个高危漏洞,都是 yarn.lock 里锁定的旧版本依赖。我试过直接删掉 yarn.lock 然后重新 yarn install,但发现有...
-
2
回答
54浏览
npm audit 报高危漏洞,但升级依赖后项目就报错怎么办?
我用 npm audit 扫描项目,发现 lodash 有个高危漏洞,提示要升级到 4.17.21 以上。可我升级完之后,页面直接白屏,控制台报错说某个方法 undefined。 之前用的是 4.17...
-
2
回答
68浏览
pnpm audit 报告高危漏洞但不知道怎么修复怎么办?
我用 pnpm 管理项目依赖,今天运行 pnpm audit 时发现好几个高危漏洞,但提示信息太模糊了,根本不知道该升级哪个包或者怎么处理。 比如它说某个间接依赖有原型污染问题,但我查了 packag...
-
2
回答
33浏览
yarn.lock 里的依赖有安全漏洞,我该手动改它吗?
最近用 GitHub 的 Dependabot 扫描项目,发现 yarn.lock 里有几个底层依赖有中危漏洞。但这些包不是我直接装的,是被其他依赖带进来的。我试过删掉 node_modules 和 ...
-
2
回答
63浏览
npm audit 报了高危漏洞,但补丁版本还没发,怎么办?
项目里用的 lodash 被 npm audit 标成高危漏洞,说是原型污染问题。可我查了官方仓库,最新版还是 4.17.21,根本没发安全补丁。 我已经试过手动升级到最新版,也清了缓存重装,但漏洞还...
-
2
回答
51浏览
React项目SCA扫描提示lodash过期,升级后组件报错怎么办?
刚用sca扫描工具发现项目用的lodash是4.17.20,存在高危漏洞必须升级。我执行npm install lodash@latest后,页面渲染直接报错: // 组件里这样引用的 import ...
-
2
回答
113浏览
npm audit显示高危漏洞但修复后依然存在怎么办?
我在开发一个Vue项目时,用npm audit发现有个高危漏洞(no-ssri@4.0.0),提示影响构建流程。试过运行npm audit fix和手动升级相关包,但漏洞还是没消失。项目用的是Vue ...
