为什么 trivy 扫描器发现了我项目中不存在的依赖项的漏洞?

问题描述 投票:0回答:0

我使用 trivy GitHub 操作 (aquasecurity/trivy-action@master) 来扫描我的 nestjs 项目,但即使我没有直接或间接地使用这些包,也会不断出现以下漏洞(在我的 

yarn.lock
中没有它们的踪迹) .为什么 trivy 会报告这些漏洞?

┌─────────────────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────────┐
│               Library               │ Vulnerability  │ Severity │ Installed Version │ Fixed Version │                           Title                            │
├─────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤
│ dot-object (package.json)           │ CVE-2019-10793 │ MEDIUM   │ 1.1.0             │ 2.1.3         │ Prototype Pollution in dot-object                          │
│                                     │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-10793                 │
├─────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤
│ http-cache-semantics (package.json) │ CVE-2022-25881 │ HIGH     │ 4.1.0             │ 4.1.1         │ http-cache-semantics: Regular Expression Denial of Service │
│                                     │                │          │                   │               │ (ReDoS) vulnerability                                      │
│                                     │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-25881                 │
└─────────────────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────────┘
node.js security github-actions trivy npm-vulnerabilities
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.