164 votes

Raph117 avatar

Comment corriger dans mon package-lock.json un paquet npm vulnérable qui n'est pas répertorié dans le package.json ?

Demandé el 14 de Mai, 2018
Quand la question a-t-elle été
23603 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Github m'indique qu'une dépendance de mon fichier package-lock.json est vulnérable et périmée. Le problème est que si je fais npm install ou npm update mais aucun d'entre eux ne met à jour la dépendance dans le fichier package-lock.json.

J'ai beaucoup cherché sur Google, j'ai supprimé le fichier et j'ai fait npm install .

Si quelqu'un peut aider à résoudre ce problème, je l'apprécierais énormément. Le paquet en question est Hoek, que je n'ai pas réellement dans mon fichier package.json.

Merci d'avance.

Demandé el 14 de Mai, 2018 par Raph117

7 votes

Avatar de CodeFreak

Essayez de supprimer votre package-lock.json et exécutez à nouveau npm install.

Commenté el 14 de Mai, 2018 par CodeFreak

1 votes

Avatar de Roland Starke

Vous pouvez vérifier vos dépendances pour trouver celle qui dépend de hoek et la mettre à jour. (Mais vous pourriez aussi ne pas avoir de chance et cette dépendance n'a pas de version plus récente).

Commenté el 14 de Mai, 2018 par Roland Starke

0 votes

Avatar de Marcelo Filho

Je suggère la même chose à @RishikeshDhokare.

Commenté el 21 de Septembre, 2018 par Marcelo Filho
Afficher 1 autres commentaires

Réponses

Trop de publicités?

74voto

Alex Mulchinock avatar
Alex Mulchinock Points 1

Il semble que Hoek soit une dépendance de l'une de vos dépendances (ainsi, un paquet que vous avez dans votre package.json le requiert depuis son propre package.json).

Vous avez déjà essayé de supprimer/réinstaller et mettre à jour les dépendances de votre projet sans succès, il semble donc que la dépendance du paquet en question ait une version explicite ou maximale spécifiée.

Sans voir le package.json de chacune de vos dépendances, il serait difficile de vous conseiller davantage sur la manière de forcer une mise à jour.

Edit : Pour vous aider à identifier quels paquets utilisent quelles dépendances, vous pouvez utiliser l'outil de NPM ls commandement : https://docs.npmjs.com/cli/ls

Par exemple, pour voir quels paquets utilisent Hoek : npm ls hoek

Edit 2 : Comme l'indique correctement Ulysse BN, si vous disposez de NPM version 6 ou ultérieure, vous pouvez utiliser npm audit fix pour demander à NPM de tenter de corriger les vulnérabilités pour vous.

Edit 3 : Ceux qui lisent ceci devraient également consulter la réponse de JBallin ci-dessous. Elle développe les informations que j'ai données ici, et est (à mon avis) une réponse plus structurée qui répond mieux à la question de l'OP. Cependant, si vous voulez une solution rapide, cette réponse devrait suffire.

Répondu el 14 de Mai, 2018 par Alex Mulchinock (1 Points )

4 votes

Avatar de Fuhrmanator

J'ai un problème similaire avec un paquet différent (Growl). Je suppose qu'il s'agit d'une version de quelque chose dans mon fichier package.json qui dépend de la version spécifique (vulnérable) de Growl. Votre réponse est sur la bonne voie et vous pourriez peut-être l'améliorer si vous pouviez partager la commande qui montrera quel(s) paquet(s) en package.json qui dépendent de la vulnérabilité montrée dans package-lock.json .

Commenté el 8 de Juin, 2018 par Fuhrmanator

0 votes

Avatar de Alex Mulchinock

Voir la réponse mise à jour. Si vous avez besoin d'aide supplémentaire, créez une nouvelle question :)

Commenté el 8 de Juin, 2018 par Alex Mulchinock

0 votes

Avatar de Fuhrmanator

Merci. C'est fait : stackoverflow.com/questions/50764225/

Commenté el 8 de Juin, 2018 par Fuhrmanator
Afficher 3 autres commentaires

47voto

JBallin avatar
JBallin Points 753

TLDR : Mettez à jour le paquet parent en utilisant npm i $PARENT_PKG_NAME .

Note

Lorsque vous mettez à jour les dépendances, vous devez consulter le CHANGELOG pour voir s'il n'y a pas de modifications importantes.

Diagnostic

npm audit révélera à la fois le paquet vulnérable (notez que vous aurez besoin d'un fichier package-lock.json pour cela, donc vous devrez exécuter npm i ), ainsi que le paquet dont il est une dépendance (le cas échéant). Notez que vous pouvez également utiliser npm ls $CHILD_PKG_NAME pour voir ses dépendances parentales.

Tentative de réparation rapide

npm audit fix et npm audit fix --force valent la peine d'être essayées, mais parfois la correction devra être effectuée manuellement (voir ci-dessous).

Correction manuelle

Il est fort probable que le paquet parent ait déjà corrigé ses dépendances (vous pouvez le vérifier en allant sur leur GitHub et en examinant les commits récents - ou simplement en regardant si cela corrige le problème), vous pouvez donc simplement exécuter npm i $PARENT_PKG_NAME @$NEW_VERSION et cela mettra à jour votre package-lock.json.

Si le parent n'a pas corrigé la vulnérabilité

Si le responsable ne semble pas être réactif, vous pouvez envisager d'utiliser un paquet alternatif qui accomplit la même chose ou de bifurquer le paquet et de mettre à jour la vulnérabilité vous-même.

Vérifier la correction

Vous pouvez maintenant vérifier que cela a fonctionné en exécutant npm audit et s'assurer qu'aucune vulnérabilité n'apparaît. Validez vos changements, poussez-les vers GitHub, rafraîchissez vos notifications/alertes et ils devraient avoir disparu !

Répondu el 27 de Novembre, 2018 par JBallin (753 Points )

0 votes

Avatar de Carmine Tambascia

Qu'en est-il comme dans mon cas le Quick Fix ne fonctionne pas ni le manuel dans cette réponse que le parent est un cadre qui dans la mise à jour a changé complètement API et se débarrasser même de cette bibliothèque ? Ceci parce que le cadre parent utilise toujours l'ancienne bibliothèque. En effet, l'ancienne est toujours maintenue mais pas mise à jour, je veux dire comment je pourrais procéder ?

Commenté el 16 de Janvier, 2020 par Carmine Tambascia

1 votes

Avatar de JBallin

@CarmineTambascia si le paquet que vous utilisez ne corrige pas ses vulnérabilités (j'ouvrirais un problème/PR dans l'espoir qu'il soit corrigé) - j'envisagerais de faire votre propre fork du ou des paquets, de corriger les vulnérabilités, à la place du paquet affecté.

Commenté el 16 de Janvier, 2020 par JBallin

0 votes

Avatar de Harshita

Existe-t-il un moyen de mettre à jour le paquet enfant ? Dans le cas où le paquet parent n'a pas été corrigé des vulnérabilités ?

Commenté el 15 de Juillet, 2020 par Harshita
Afficher 3 autres commentaires

8voto

Ulysse BN avatar
Ulysse BN Points 2280

Si vous avez npm@6 ou une version ultérieure, vous pouvez utiliser npm audit fix pour vos problèmes de sécurité.

Répondu el 13 de Octobre, 2018 par Ulysse BN (2280 Points )

3voto

scorpion avatar
scorpion Points 96

Utilisez :

npm i hoek

npm installera la dernière version de hoek et votre package.lock.json sera mis à jour.

Répondu el 31 de Juillet, 2018 par scorpion (96 Points )

0voto

jvvw avatar
jvvw Points 231

J'ai eu ce problème et j'ai découvert que c'était parce que le serveur sur lequel j'exécutais npm avait une ancienne version de npm - package-lock.json n'est supporté que par des versions plus récentes.

Répondu el 21 de Septembre, 2018 par jvvw (231 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X