আমি যখন npm installএটি চালায় found 33 vulnerabilities (2 low, 31 moderate)
run `npm audit fix` to fix them, or `npm audit` for details।
তবে npm audit fixআউটপুটসup to date in 11s
fixed 0 of 33 vulnerabilities in 24653 scanned packages
33 vulnerabilities required manual review and could not be updated
এর reviewঅর্থ কি এটি ব্যবহারকারীর দ্বারা স্থির করার কথা নয়?
আমি যখন চালনা npm auditকরি তখন এটি আমাকে অনুরূপ সারণীগুলির তালিকা দেয়:
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ browser-sync [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ browser-sync > easy-extender > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577 │
└───────────────┴──────────────────────────────────────────────────────────────┘
এই উদাহরণে লিঙ্কযুক্ত পৃষ্ঠার প্রতিকার বিভাগ বলছে Update to version 4.17.5 or later.। তবে, /node_modules/browser-sync/package.jsonলাইন রয়েছে:
"devDependencies": {
"lodash-cli": "4.17.5",
}
এবং আর কোনও লোডাস নির্ভরতা নেই। সুতরাং এটি ইতিমধ্যে v4.17.5 হওয়া উচিত। /node_modules/lodash/lodash.jsonকোনটি var VERSION = '4.17.10';লাইন আছে তাও আমি পরীক্ষা করেছিলাম । ইন /node_modules/lodash/package.jsonএই লাইন আছে:
"_from": "lodash@^4.17.4",
"_id": "lodash@4.17.10",
আমি বিশ্বাস করি যে সংস্করণটি "_id" এ দেখানো হয়েছে, "_ফর্ম" থেকে নয়, সুতরাং সংস্করণগুলি সঠিক তবে দুর্বলতা এখনও নিরীক্ষণের তালিকায় উপস্থিত রয়েছে।
আমি এখনও নোড.জেজে নতুন এবং সেই বার্তাগুলি আমাকে অনেকটা বিভ্রান্ত করে। এটিকে ম্যানুয়ালি সংশোধন করার বা সেই বার্তাগুলি থেকে মুক্তি পাওয়ার কোনও উপায় আছে, আমি এর সাথে কিছুই করতে পারি না?