我使用 trivy GitHub 操作 (aquasecurity/trivy-action@master) 来扫描我的 nestjs 项目,但即使我没有直接或间接地使用这些包,也会不断出现以下漏洞(在我的
yarn.lock
中没有它们的踪迹) .为什么 trivy 会报告这些漏洞?
┌─────────────────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├─────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤
│ dot-object (package.json) │ CVE-2019-10793 │ MEDIUM │ 1.1.0 │ 2.1.3 │ Prototype Pollution in dot-object │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-10793 │
├─────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤
│ http-cache-semantics (package.json) │ CVE-2022-25881 │ HIGH │ 4.1.0 │ 4.1.1 │ http-cache-semantics: Regular Expression Denial of Service │
│ │ │ │ │ │ (ReDoS) vulnerability │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25881 │
└─────────────────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────────┘