Npm漏洞无法修复
我开始学习 react 并通过运行创建了我的第一个应用程序:
'npx create-react-app my-app'
构建应用程序后,我在终端中收到一条警告:
22 个漏洞(9 个中等,13 个高)
我试图通过运行来修复它:
'npm 审计修复'
但它返回了这个:
npm 错误!代码 ERESOLVE npm ERR!ERESOLVE 无法解析依赖树 npm ERR!npm 错误!发现:type-fest@0.21.3 npm ERR!node_modules/type-fest npm ERR!type-fest@"^0.21.3" 来自 ansi-escapes@4.3.2 npm ERR!node_modules/ansi-escapes npm ERR!ansi-escapes@"^4.2.1" 来自@jest/core@26.6.3 npm ERR!node_modules/@jest/core npm ERR!@jest/core@"^26.6.0" 来自 jest@26.6.0 npm ERR!node_modules/jest npm ERR!peer jest@"^26.0.0" 来自 jest-watch-typeahead@0.6.1 npm ERR!node_modules/jest-watch-typeahead npm ERR!还有 1 个(反应脚本)npm ERR!还有 1 个 (jest-cli) npm ERR!ansi-escapes@"^4.3.1" 来自 jest-watch-typeahead@0.6.1 npm ERR!node_modules/jest-watch-typeahead npm ERR!jest-watch-typeahead@"0.6.1" 来自 react-scripts@4.0。3 npm 错误!node_modules/react-scripts npm ERR!react-scripts@"4.0.3" 来自根项目 npm ERR!还有 2 个(jest-watcher,终端链接)npm ERR!npm 错误!无法解析依赖项:npm ERR!peerOptional type-fest@"^0.13.1" from @pmmmwh/react-refresh-webpack-plugin@0.4.3 npm ERR!node_modules/@pmmmwh/react-refresh-webpack-plugin npm ERR!@pmmmwh/react-refresh-webpack-plugin@"0.4.3" 来自 react-scripts@4.0.3 npm ERR!node_modules/react-scripts npm ERR!react-scripts@"4.0.3" 来自根项目 npm ERR!npm 错误!修复上游依赖冲突,或者重试 npm ERR!此命令带有 --force 或 --legacy-peer-deps npm ERR!接受不正确(并且可能已损坏)的依赖项解析。npm 错误!npm 错误!有关完整报告,请参阅 /home/azizdragon/.npm/eresolve-report.txt。node_modules/react-scripts npm ERR!react-scripts@"4.0.3" 来自根项目 npm ERR!还有 2 个(jest-watcher,终端链接)npm ERR!npm 错误!无法解析依赖项:npm ERR!peerOptional type-fest@"^0.13.1" from @pmmmwh/react-refresh-webpack-plugin@0.4.3 npm ERR!node_modules/@pmmmwh/react-refresh-webpack-plugin npm ERR!@pmmmwh/react-refresh-webpack-plugin@"0.4.3" 来自 react-scripts@4.0.3 npm ERR!node_modules/react-scripts npm ERR!react-scripts@"4.0.3" 来自根项目 npm ERR!npm 错误!修复上游依赖冲突,或者重试 npm ERR!此命令带有 --force 或 --legacy-peer-deps npm ERR!接受不正确(并且可能已损坏)的依赖项解析。npm 错误!npm 错误!有关完整报告,请参阅 /home/azizdragon/.npm/eresolve-report.txt。node_modules/react-scripts npm ERR!react-scripts@"4.0.3" 来自根项目 npm ERR!还有 2 个(jest-watcher,终端链接)npm ERR!npm 错误!无法解析依赖项:npm ERR!peerOptional type-fest@"^0.13.1" from @pmmmwh/react-refresh-webpack-plugin@0.4.3 npm ERR!node_modules/@pmmmwh/react-refresh-webpack-plugin npm ERR!@pmmmwh/react-refresh-webpack-plugin@"0.4.3" 来自 react-scripts@4.0.3 npm ERR!node_modules/react-scripts npm ERR!react-scripts@"4.0.3" 来自根项目 npm ERR!npm 错误!修复上游依赖冲突,或者重试 npm ERR!此命令带有 --force 或 --legacy-peer-deps npm ERR!接受不正确(并且可能已损坏)的依赖项解析。npm 错误!npm 错误!有关完整报告,请参阅 /home/azizdragon/.npm/eresolve-report.txt。
npm 错误!可以在以下位置找到此运行的完整日志:npm ERR!
/home/azizdragon/.npm/_logs/2021-06-23T03_09_31_663Z-debug.log
我尝试删除 package-lock.json 文件和 node_modules 文件夹并运行:
安装
但它导致了相同的漏洞,这是我运行“npm audit”时的报告:
browserslist 4.0.0 - 4.16.4 严重性:中度正则表达式拒绝服务 - https://npmjs.com/advisories/1747
修复可通过npm audit fix --force
Will install react-scripts@1.1.5 获得,这是一个重大更改 node_modules/react- dev-utils/node_modules/browserslist react-dev-utils >=6.0.0-next.03604a46 取决于易受攻击的浏览器版本 node_modules/react-dev-utils react-scripts >=0.10.0-alpha.328cb32e 取决于易受攻击的版本@pmmmwh/react-refresh-webpack-plugin 取决于@svgr/webpack 的易受攻击版本 取决于 mini-css-extract-plugin 的易受攻击版本 取决于 react-dev-utils 的易受攻击版本 取决于 webpack-dev 的易受攻击版本-server node_modules/react-scriptscss-what <5.0.1 严重性:高拒绝服务 -
https://npmjs.com/advisories/1754修复可通过npm audit fix --forceWill install react-scripts@1.1.5 获得,这是一个重大更改 node_modules/svgo/node_modules/css -what css-select <=3.1.2
取决于 css-what 的易受攻击版本
9 取决于 svgo node_modules/postcss-svgo cssnano-preset-default 的易受攻击版本 * 取决于 postcss-normalize-url 的易受攻击版本 取决于 postcss-svgo node_modules/cssnano-preset-default cssnano 4.0.0-nightly 的易受攻击版本。 2020.1.9 - 4.1.11 取决于 cssnano-preset-default node_modules/cssnano optimize-css-assets-webpack-plugin 3.2.1 的易受攻击版本 || 5.0.0 - 5.0.4 || 5.0.6 依赖于 cssnano node_modules/optimize-css-assets-webpack-plugin 的易受攻击版本glob-parent <5.1.2 严重性:中等正则表达式拒绝服务 - https://npmjs.com/advisories/1751修复可通过
npm audit fix --forceWill install react-scripts@1.1.5 获得,这是一个重大变化 node_modules/watchpack-chokidar2 /node_modules/glob-parent node_modules/webpack-dev-server/node_modules/glob-parent chokidar 1.0.0-rc1 - 2.1.8 取决于 glob-parent node_modules/watchpack-chokidar2/node_modules/chokidar 的易受攻击版本
node_modules/webpack-dev-server/node_modules/chokidar watchpack-chokidar2 * 取决于有漏洞的 chokidar node_modules/watchpack-chokidar2 watchpack 1.7.2 - 1.7.5 取决于有漏洞的 watchpack-chokidar2 node_modules/watchpack webpack 4.44.0 - 4.46.0 取决于易受攻击的 watchpack node_modules/webpack-dev-server 2.0.0-beta - 3.11.2 取决于易受攻击的 chokidar node_modules/webpack-dev-server @pmmmwh/react-refresh-webpack-plugin 0.3 版本.1 - 0.5.0-beta.4 取决于 webpack-dev-server node_modules/@pmmmwh/react-refresh-webpack-plugin react-scripts >=0.10.0-alpha 的易受攻击版本。328cb32e 取决于@pmmmwh/react-refresh-webpack-plugin 的易受攻击版本 取决于@svgr/webpack 的易受攻击版本 取决于mini-css-extract-plugin 的易受攻击版本 取决于react-dev-utils 的易受攻击版本 取决于易受攻击的版本webpack-dev-server node_modules/react-scripts 的版本normalize-url <=4.5.0 || 5.0.0 - 5.3.0 || 6.0.0 严重性:高正则表达式拒绝服务 -
https://npmjs.com/advisories/1755修复可通过npm audit fix --forceWill install react-scripts@1.1.5 获得,这是一个重大变化 node_modules/normalize-url node_modules/postcss- normalize-url/node_modules/normalize-url
mini-css-extract-plugin 0.6.0 - 1.0.0 取决于易受攻击的 normalize-url node_modules/mini-css-extract-plugin react-scripts >=0.10.0-alpha.328cb32e 取决于易受攻击的@pmmmwh 版本/react-refresh-webpack-plugin 取决于@svgr/webpack 的易受攻击版本 取决于 mini-css-extract-plugin 的易受攻击版本 取决于 react-dev-utils 的易受攻击版本 取决于 webpack-dev-server node_modules 的易受攻击版本/react-scripts postcss-normalize-url <=4.0.1 取决于 normalize-url 的易受攻击版本
node_modules/postcss-normalize-url cssnano-preset-default * 取决于 postcss-normalize-url 的易受攻击版本 取决于 postcss-svgo 的易受攻击版本 node_modules/cssnano-preset-default cssnano 4.0.0-nightly.2020.1.9 - 4.1 .11 取决于 cssnano-preset-default node_modules/cssnano optimize-css-assets-webpack-plugin 3.2.1 的易受攻击版本 || 5.0.0 - 5.0.4 || 5.0.6 依赖于 cssnano node_modules/optimize-css-assets-webpack-plugin 的易受攻击版本22 个漏洞(9 个中等,13 个高)
要解决不需要注意的问题,请运行:npm audit fix
要解决所有问题(包括重大更改),请运行: npm audit fix --force
我应该使用 npm audit fix --force 吗?如果有帮助,我运行 Linux Mint 18.3 Cinnamon 64 位节点版本:v16.0.0 NPM 版本:7.18.1
提前致谢。