几天前我收到了来自github的邮件,内容如下:
他说我所使用的依赖minimist版本太低,存在安全问题,需要对其进行升级,可是我根本没有安装此依赖,我想到也许会有朋友遇到类似的问题,所以我将自己的解决思路写下来,希望可以帮助到一部分人。
image.png
遇到事情不要慌,我们冷静思考一下,首先进入他注明的文件内 promise/package-lock.json, 然后ctrl+f全局搜索一番,发现他真的存在,而且版本很低为0.0.8。由于搜索结果有多个,我们继续往下翻阅↓
image.png
然后发现了一点猫腻,mkdirp需要这个,然而mkdirp也不是我主动下载的,那继续按照这个思路全局搜索mkdirp。
image.png
最后我找到了原罪,mocha!那接下来就要开始升级之旅了!进入github的mocha主页。并且进入他的package-lock.json文件, 全局搜索mkdirp:https://github.com/mochajs/mocha/blob/master/package-lock.json
image.png
最后在第9条找到了我期待的信息,mocha、mkdirp和minimist果然也收到了来自github的邮件,并且都对此进行了升级。那我就很幸福了,只需要将自己仓库的mocha升级就万事大吉了!
image.png
升级mocha
刷新一下本地仓库,然后就可以看到所以内容都已升级成功,重新运行一下测试用例,所以用例通过后就可以提交仓库代码到github上啦!
image.png
完成!
以上来自我的语雀原文:https://www.yuque.com/u548790/evuqwg/kaucpo?
网友评论