为什么在两个不同的项目上安装相同的节点包导致两个不同的审计结果?一个没有漏洞,一个有两个漏洞。
我可以根据需要使用有关项目的信息编辑此描述。
一个项目不包含其他模块,一个包含它们的负载。它们在同一台计算机上运行。
每次运行npm install
时,它都会收集添加到项目中的所有依赖项的描述,将其发送到注册表并要求提供已知漏洞的报告。所以不同输出的原因是在第二个项目中你确实有一些易受攻击的依赖。
您可以运行npm audit
以查看第二个项目中有关易受攻击的依赖项的详细信息。
如果您不希望npm install
审核依赖项,可以使用--no-audit
参数运行它。