我得到了警告:
npm WARN deprecated debug@4.1.1:
Debug versions >=3.2.0 <3.2.7 || >=4 <4.3.1 have a low-severity
ReDos regression when used in a Node.js environment.
It is recommended you upgrade to 3.2.7 or 4.3.1.字符串
npm和node的版本:
npm -v
7.3.0node -v
v15.5.0的数据
编辑:package.json:
{
"name": "example",
"version": "1.0.0",
"description": "",
"main": "index.js",
"scripts": {
"test": "echo \"Error: no test specified\" && exit 1"
},
"repository": {
"type": "git",
"url":
"git+https://example@bitbucket.org/username/example.git"
},
"author": "",
"license": "ISC",
"homepage": "https://bitbucket.org/karenshahmuusernameadyan/example#readme",
"dependencies": {
"socket.io": "^3.0.4"
}
}型
2条答案
按热度按时间ni65a41a1#
查看package.json,问题出在socket.io的当前版本中。因为看起来您好像刚刚开始开发某些东西,所以现在可以忽略该警告,并留意新的版本。已存在a pull request open to update the
debugdependency。我的猜测是,这个漏洞是最近才披露的,这将很快得到修复。原始答案(在问题中添加
package.json之前),针对面临类似但不相同问题的人:如果您想尝试焦土方法:首先删除
node_modules和package-lock.json。然后运行npm install。这将更新所有内容,同时符合您的package.json要求。一个潜在的缺点是,它可能会更新很多其他的东西,你可能不想这些更新的各种原因。一个更有针对性的方法:
npm可能会自动为您修复此问题。运行npm audit并查看它是否标记了Debug库。如果是这样,就照它说的去做,试着修复它。(它可能只是npm audit fix,但在某些情况下,修复涉及更多。)有时,您运行npm audit fix,但它不能修复问题。在这种情况下,请使用其他方法之一。全手动方法:使用
npm ls查找Debug@4.1.1的安装位置。然后,你需要弄清楚它是一个你可以自己更新的依赖项(如果它是你自己的package.json中的直接依赖项),还是一个依赖项的依赖项,你依赖于别人来更新。由于修复的版本是4.x,因此很可能只需使用Debug重新安装依赖项即可修复它。lstz6jyr2#
检查
package-lock.json文件中的版本。当你在某个地方找到4.1.1版本的debug依赖项时,只需要在package.json中提升该依赖项的版本。