SCA扫描报了lodash高危漏洞,但我项目里根本没直接装它?
最近CI里的SCA扫描突然报了个lodash的CVE-2023-45133高危漏洞,可我查了package.json压根没直接依赖lodash。是不是被某个依赖偷偷带进来的?该怎么定位和修复啊?
我试着用npm ls lodash找了一下,确实有几层嵌套依赖在用。但我不确定能不能直接升级,怕搞崩了。比如下面这个工具函数就用了get:
import get from 'lodash/get';
function getUserEmail(user) {
return get(user, 'profile.contact.email', '');
}
- 1
回答
38浏览
React项目SCA扫描提示lodash过期,升级后组件报错怎么办?
刚用sca扫描工具发现项目用的lodash是4.17.20,存在高危漏洞必须升级。我执行npm install lodash@latest后,页面渲染直接报错: // 组件里这样引用的 import ...
- 2
回答
36浏览
为什么OWASP Dependency-Check扫描我的React项目时总显示lodash有漏洞?
我用React开发项目时用了lodash,昨天跑OWASP扫描突然提示lodash有高危漏洞CVE-2023-30127。我明明在package.json里装的是最新的4.17.23版本啊,这是怎么回...
- 2
回答
25浏览
Snyk 扫描总报高危漏洞,但项目跑得好好的?
我用 Snyk 扫描前端项目依赖,老是提示一堆高危漏洞,比如 lodash 或 axios 的问题。可本地开发和线上都跑得挺稳,也没出过安全问题,这到底要不要处理? 试过按 Snyk 建议升级版本,但...
- 1
回答
39浏览
npm项目中如何快速修复依赖项的SCA高危漏洞?
我在做项目安全扫描时发现,用npm管理的依赖项中有三个高危漏洞,但直接运行npm update没效果。尝试过根据npm audit的建议手动升级具体包版本,但其中一个依赖被多个子模块同时引用,改到第三...
- 2
回答
297浏览
AppScan扫描后提示‘XSS漏洞’,但代码里用了转义,怎么解决?
我在用AppScan扫描Vue项目时,发现一个XSS漏洞指向这个组件: <div v-html="renderContent"></div> 代码里已经对接口返回的数据做了HT...
- 2
回答
37浏览
npm audit 报高危漏洞,但升级依赖后项目就报错怎么办?
我用 npm audit 扫描项目,发现 lodash 有个高危漏洞,提示要升级到 4.17.21 以上。可我升级完之后,页面直接白屏,控制台报错说某个方法 undefined。 之前用的是 4.17...
- 2
回答
52浏览
npm audit 报了高危漏洞,但补丁版本还没发,怎么办?
项目里用的 lodash 被 npm audit 标成高危漏洞,说是原型污染问题。可我查了官方仓库,最新版还是 4.17.21,根本没发安全补丁。 我已经试过手动升级到最新版,也清了缓存重装,但漏洞还...
- 2
回答
87浏览
React项目用lodash-es为啥Tree Shaking没效果?
大家好,我在React项目里改用lodash-es做Tree Shaking优化,但打包后发现整个lodash都被引入了。比如这样写: import _ from 'lodash-es'; const...
- 1
回答
13浏览
iView Cascader 级联选择器怎么动态加载数据?
我用 iView 的 Cascader 做省市区三级联动,但数据是从接口异步拿的,直接赋值 options 没反应,控制台也不报错,是不是得用 loadData?试了下没搞明白怎么写。 现在代码是这样...
- 2
回答
23浏览
为什么用了 lodash-es 还是没法 tree shaking 掉没用的函数?
我项目里只用了 lodash-es 的 debounce,按理说其他函数应该被 tree shaking 掉,但打包后体积还是很大。我用的是 Vite + Vue3,默认配置应该支持 ES modul...
首先,用
npm ls lodash来查看哪些包依赖了 lodash。这一步你已经做了,找到了几层嵌套的依赖关系。然后,你可以尝试升级这些依赖包,看看能不能解决这个问题。可以先从顶层依赖开始,看看是否有新版本已经修复了这个漏洞。升级命令是
npm update。如果不想直接升级依赖,或者担心升级会带来其他问题,你可以考虑使用
npm override来强制指定 lodash 的版本。在package.json中添加一个 overrides 字段,指定 lodash 的版本为你知道的安全版本,比如这样:这样即使某些包依赖的是旧版本的 lodash,npm 也会安装你指定的安全版本。
最后,记得更新完依赖后重新跑一遍 SCA 扫描,确保漏洞已经被修复。
至于你提到的工具函数,如果升级 lodash 版本后没有 API 变化,应该可以直接替换掉。不过最好还是检查一下新版本的 changelog,确认一下有没有不兼容的地方。