npm警告:建议您升级到3.2.7或4.3.1

a11xaf1n  于 2023-08-06  发布在  其他
关注(0)|答案(2)|浏览(206)

我得到了警告:

npm WARN deprecated debug@4.1.1: 
Debug versions >=3.2.0 <3.2.7 || >=4 <4.3.1 have a low-severity 
ReDos regression when used in a Node.js environment. 
It is recommended you upgrade to 3.2.7 or 4.3.1.

字符串
npm和node的版本:

npm -v

7.3.0
node -v 

v15.5.0

的数据
编辑:package.json

{
  "name": "example",
  "version": "1.0.0",
  "description": "",
  "main": "index.js",
  "scripts": {
    "test": "echo \"Error: no test specified\" && exit 1"
  },
  "repository": {
    "type": "git",
    "url": 
"git+https://example@bitbucket.org/username/example.git"
  },
  "author": "",
  "license": "ISC",
  "homepage": "https://bitbucket.org/karenshahmuusernameadyan/example#readme",
  "dependencies": {
    "socket.io": "^3.0.4"
  }
}

ni65a41a

ni65a41a1#

查看package.json,问题出在socket.io的当前版本中。因为看起来您好像刚刚开始开发某些东西,所以现在可以忽略该警告,并留意新的版本。已存在a pull request open to update the debug dependency。我的猜测是,这个漏洞是最近才披露的,这将很快得到修复。

原始答案(在问题中添加package.json之前),针对面临类似但不相同问题的人:

如果您想尝试焦土方法:首先删除node_modulespackage-lock.json。然后运行npm install。这将更新所有内容,同时符合您的package.json要求。一个潜在的缺点是,它可能会更新很多其他的东西,你可能不想这些更新的各种原因。
一个更有针对性的方法npm可能会自动为您修复此问题。运行npm audit并查看它是否标记了Debug库。如果是这样,就照它说的去做,试着修复它。(它可能只是npm audit fix,但在某些情况下,修复涉及更多。)有时,您运行npm audit fix,但它不能修复问题。在这种情况下,请使用其他方法之一。

全手动方法:使用npm ls查找Debug@4.1.1的安装位置。然后,你需要弄清楚它是一个你可以自己更新的依赖项(如果它是你自己的package.json中的直接依赖项),还是一个依赖项的依赖项,你依赖于别人来更新。由于修复的版本是4.x,因此很可能只需使用Debug重新安装依赖项即可修复它。

lstz6jyr

lstz6jyr2#

检查package-lock.json文件中的版本。当你在某个地方找到4.1.1版本的debug依赖项时,只需要在package.json中提升该依赖项的版本。

相关问题