问题描述
当使用npm安装或更新一些依赖包时,有时会遇到这样的报错信息:
up to date, audited 879 packages in 3s
98 packages are looking for funding
run `npm fund` for details
4 moderate severity vulnerabilities
To address all issues (including breaking changes), run:
npm audit fix --force
Run `npm audit` for details.
这个报错信息的意思是:
- 依赖包已经是最新的,npm检查了879个包,花了3秒钟。
- 有98个包正在寻求资金支持,运行
npm fund来查看详情,也可以选择捐赠一些钱给这些包的开发者。 - 有4个中等程度的安全漏洞,运行
npm audit fix --force来修复所有的问题,包括一些可能导致破坏性变化的问题。 - 运行
npm audit来查看更多的细节,包括每个漏洞的类型,来源,影响等。
解决方法
有时候并不想修复这些安全漏洞,因为它们可能会影响我们的项目的正常运行,或者我们只是想快速地初始化一个项目,不想被这些报错信息打扰,可以使用一个简单的命令来关闭npm的audit检查:
npm set audit false
这样就可以保证npm的audit不会影响初始化项目,但是这个解决办法并不建议使用在实际生产中,因为它会让我们忽略一些可能存在的安全风险。
同样的,可以将值设为true来打开npm audit检查,这样可以看到npm的报错信息,也可以选择修复它们:
npm set audit true
这个操作将对全局生效,也就是说,它会影响我们所有的项目,不管是新的还是旧的。
