VUE项目安全漏洞扫描和修复

npm audit

1、npm audit是npm 6 新增的一个命令,可以允许开发人员分析复杂的代码并查明特定的漏洞。

2、npm audit名称执行,需要包package.json和package-lock.json文件。它是通过分析 package-lock.json 文件,继而扫描我们的包分析是否包含漏洞的。

3、npm audit命令将项目中配置的依赖项的描述提交到默认注册中心,并要求提供已知漏洞的报告。如果发现任何漏洞,则将计算影响和适当的补救措施。如果提供了fix参数,则修复将应用于包树。

如果没有发现漏洞,该命令将以0退出。

npm audit 返回的漏洞数据来源于https://docs.npmjs.com/cli/v9/commands/npm-audit

vue项目漏洞修复流程

1.扫描你的项目的漏洞,只显示细节,不修复任何东西

javascript 复制代码
npm-audit
  1. 让audit fix安装SemVer-major更新到顶层依赖,而不仅仅是semver兼容的依赖
javascript 复制代码
npm audit fix --force

3、删除nodemodules 重新安装

4、启动服务,不出意外的话,vue.config.js 的配置会有报错。没关系,根据提示解决就可以了

npm outdated

此命令用来检查过时的包

复制代码
npm outdated

此命令将检查注册表以查看当前是否有任何(或特定)已安装的包已过时。

默认情况下,仅显示根项目的直接依赖和配置的工作区的直接依赖。 也可以使用 --all 查找所有过时的元依赖。

在输出中:wanted 是满足 package.json 中指定的 semver 范围的包的最大版本。 如果没有可用的 semver 范围(即你正在运行 npm outdated --global,或者该包未包含在 package.json 中),则 wanted 显示当前安装的版本。

latest 是在注册表中标记为最新的包的版本。 在没有特殊配置的情况下运行 npm publish 将发布带有 latest 的 dist-tag 的包。 这可能是也可能不是包的最高版本,或者是最近发布的包版本,这取决于包的开发者如何管理最新的 dist-tag

location 是包在物理树中的位置。

depended by 显示哪个包依赖于显示的依赖

package type(使用 --long / -l 时)告诉你这个包是 dependency 还是 dev/peer/optional 依赖。 未包含在 package.json 中的包始终标记为 dependencies。

homepage(使用 --long / -l 时)是包的包中包含的 homepage 值

红色表示有更新的版本符合你的 semver 要求,因此你应该立即更新。

黄色表示有高于你的 semver 要求的较新版本(通常是新的主要版本或新的 0.x 次要版本),因此请谨慎操作。

相关推荐
成都渲染101云渲染66663 小时前
如何在3ds Max中实现更快、更高质量的渲染
前端·javascript·人工智能
闲猫5 小时前
Spring AI 对接Deepseek ChatModel 聊天对话
java·前端·spring
paopaokaka_luck6 小时前
英语单词学习系统的设计与实现(基于艾宾浩斯遗忘曲线的智能复习机制、语音朗读、多题型测试与错题自动收录、Echarts图形化分析)
vue.js·spring boot·后端·echarts
自信的未来7 小时前
JSON 工具|Web Worker 工程化打包 + 语法自动修复 + 多语言代码生成实战
java·前端·json
SRET7 小时前
Mineradio 沙盒隔离安装完全指南 | 一键安全运行 Electron 应用!!!
javascript·经验分享·安全·electron·aigc·音视频·ai编程
全栈前端老曹7 小时前
【MongoDB】安全与权限管理 —— 用户认证、角色权限、SSL 加密
前端·javascript·数据库·安全·mongodb·nosql·ssl
zhangxingchao8 小时前
AI大模型核心八:从 Agent Skill、长文档 RAG 到知识库更新与训练策略
前端·人工智能·后端
zhangxingchao8 小时前
AI大模型核心七:从 Workflow、RAG、记忆治理到幂等性
前端·人工智能·后端
gyx_这个杀手不太冷静9 小时前
Agent开发进阶指南(第 1 章):AI Agent 到底是什么?
前端·agent·ai编程
小小小小宇9 小时前
模型相关知识
前端