electron 下载依赖 npm i 报 ‘found 1 high severity vulnerability’漏洞提示解决方法及过程

在尝试打包electron项目运行npx electron-forge import后,卡在了Installing dependencies下载依赖这一步,直接instal

Failed to install modules: ["electron-squirrel-startup"]

感觉像是下载依赖失败了,然后中断后进行npm i把对应的下载全部的模块。
npm i 虽然是成功运行了但是又出现了安全漏洞错误

found 1 high severity vulnerability
run `npm audit fix` to fix them, or `npm audit` for details

按照只是执行 npm aduit fix,结果如下:

fixed 0 of 1 vulnerability in 901 scanned packages
  1 vulnerability required manual review and could not be updated

没办法自动修复…需要进行手动更新…但是也没有提示我是哪个模块又漏洞问题…经过一番百度,找到npm audit --json命令,可以扫描项目的漏洞并且详细的打印出来。

//...
 "module_name": "trim-newlines",
     //...
      "vulnerable_versions": "<3.0.1 || =4.0.0",
      "patched_versions": ">=3.0.1 <4.0.0 || >=4.0.1",
      "overview": "`trim-newlines` before 3.0.1 and 4.x before 4.0.1 for Node.js has an issue related to regular expression denial-of-service (ReDoS) for the .end() method.",
      "recommendation": "Upgrade to versions 3.0.1 or 4.0.1 or later",

根据打印出来的说明,应该是trim-newlines模块的版本处于漏洞易攻击的版本。然后去package-lock.json搜这个版本,很好,是1.0.0版本的。
按照提示,指定安装对应安全版本的该模块.一开始装的是4.0.1还是有安全漏洞提示,后面改为4.0.2没有安全漏洞提示了!

 npm i [email protected] --save

你可能感兴趣的:(electron,npm)