web-dev-qa-db-fra.com

Comment résoudre le problème des accolades du package npm avec react-scripts v2.1.5 lorsque l'audit npm ne fait rien?

Mon package NPM dans mon dossier client react me donne 63 faibles vulnérabilités, toutes traitant du package braces principalement dans le dossier jest du package react-scripts de la version 2.1.5. Le correctif d'audit NPM ne fonctionne pas, que dois-je faire?

J'ai essayé de rétrograder vers les versions précédentes de react-scripts, de mettre à jour les accolades en mettant à jour le package.json, en supprimant le verrou du package et en exécutant à nouveau l'installation de npm, ou en exécutant les accolades de mise à jour de npm, mais rien n'a fonctionné après 2 heures de violon. J'ai également essayé de revenir à une version précédente de mon package Github.json quand cela fonctionnait. Je crois que cela a cessé de fonctionner après avoir essayé de télécharger firebase-ui, mais je pense que cela a à voir avec la mise à jour des packages depuis que j'ai supprimé les modules de noeud et l'installation de npm plusieurs fois.

Voici ce que mon package.json propre qui gâche.

"webpack-dev-server": "3.1.14",
"@babel/core": "*",
"axios": "*",
"body-parser": "*",
"bootstrap": "*",
"cors": "*",
"dotenv": "*",
"draft-js": "*",
"draft-js-export-html": "*",
"errorhandler": "*",
"express": "*",
"express-session": "*",
"history": "*",
"jquery": "*",
"moment": "*",
"mongoose": "*",
"morgan": "*",
"node-sass-chokidar": "*",
"npm-run-all": "*",
"path": "*",
"query-string": "*",
"react": "*",
"react-dom": "*",
"react-loadable": "*",
"react-redux": "*",
"react-router-dom": "*",
"react-router-redux": "*",
"react-scripts": "*",
"react-validation": "*",
"reactstrap": "*",
"recharts": "*",
"redux": "*",
"redux-logger": "*",
"redux-observable": "*",
"redux-thunk": "*",
"rxjs": "*",
"rxjs-compat": "*",
"validator": "*"

Et voici le problème que je rencontre:

Déni de service à faible expression régulière

Bretelles de paquet

Dépendance des scripts de réaction

Path react-scripts> jest> jest-cli> micromatch> accolades

Plus d'informations https://nodesecurity.io/advisories/786

npmjestjsbracesreact-scripts
11
CrumrineCoder

J'ai pu résoudre un problème similaire avec le champ resolutions suivi de yarn install -

  "resolutions": {
    "braces": "= 2.3.1"
  }

J'ai inspecté yarn.lock et vérifié que seule la dépendance pertinente a été mise à jour.

Il y a plus sur le sujet ici - https://github.com/yarnpkg/yarn/issues/4986 .

0
Anton