修复npm安装项目依赖环境的漏洞

npm install安装项目依赖环境时，出现

起因：

当项目中出现含有漏洞的库时，通知更新依赖版本来修复漏洞；github出现此类问题会通过邮件通知。本次出现问题是一个叫做tar的库。

npm提供的快速检查和修复依赖漏洞的命令，本次使用并没有修复。

检查漏洞

npm audit

这个指令并不会更新依赖，它的作用是检查当前项目下的依赖，并报告依赖中漏洞的危险性，漏洞等级中等和高级会仪黄色和红色标出。

修复漏洞

npm audit fix

运行指令后，npm会自动更新到新版本来修复漏洞，最后报告漏洞的修复情况。

按照控制台输入命令 npm audit fix 没有解决问题

输入npm audit手动安装包，显示found 0 vulnerabilities但运行项目仍然出错。

npm audit ： [email protected] & npm@6，允许开发人员分析复杂的代码，并查明特定的漏洞和缺陷。

npm audit fix ：[email protected],  检测项目依赖中的漏洞并自动安装需要更新的有漏洞的依赖，而不必再自己进行跟踪和修复。

解决办法：

手动修复tar漏洞

tar作为node_gyp的第三方依赖，不能通过npm命令修复漏洞，需要手动修复。

在项目根目录下：node_moudles->node_gyp->package.json

在dependencies字段下的tar字段，版本号为^2.0.0，在4.4.2以下的版本都存在漏洞，将版本手动修改为^4.4.8

修改完毕后，运行npm audit fix，解决问题。

 

参考文献：https://blog.csdn.net/weixin_40817115/article/details/81007774