npm install erzeugt Meldungen

[r23]

Hallo,

Code: Alles auswählen

 npm install
npm WARN skipping integrity check for git dependency ssh://git@github.com/dmarcos/three-buffer-vertex-data.git
npm WARN skipping integrity check for git dependency ssh://git@github.com/dmarcos/three-bmfont-text.git
npm WARN deprecated @babel/plugin-proposal-class-properties@7.18.6: This proposal has been merged to the ECMAScript standard and thus this plugin is no longer maintained. Please use @babel/plugin-transform-class-properties instead.
npm WARN deprecated @babel/plugin-proposal-private-methods@7.18.6: This proposal has been merged to the ECMAScript standard and thus this plugin is no longer maintained. Please use @babel/plugin-transform-private-methods instead.
npm WARN deprecated @babel/plugin-proposal-numeric-separator@7.18.6: This proposal has been merged to the ECMAScript standard and thus this plugin is no longer maintained. Please use @babel/plugin-transform-numeric-separator instead.
npm WARN deprecated @babel/plugin-proposal-nullish-coalescing-operator@7.18.6: This proposal has been merged to the ECMAScript standard and thus this plugin is no longer maintained. Please use @babel/plugin-transform-nullish-coalescing-operator instead.
npm WARN deprecated stable@0.1.8: Modern JS already guarantees Array#sort() is a stable sort, so this library is deprecated. See the compatibility table on MDN: https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Array/sort#browser_compatibility
npm WARN deprecated @babel/plugin-proposal-optional-chaining@7.21.0: This proposal has been merged to the ECMAScript standard and thus this plugin is no longer maintained. Please use @babel/plugin-transform-optional-chaining instead.
npm WARN deprecated rollup-plugin-terser@7.0.2: This package has been deprecated and is no longer maintained. Please use @rollup/plugin-terser    
npm WARN deprecated sourcemap-codec@1.4.8: Please use @jridgewell/sourcemap-codec instead
npm WARN deprecated w3c-hr-time@1.0.2: Use your platform's native performance.now() and performance.timeOrigin.
npm WARN deprecated workbox-cacheable-response@6.6.0: workbox-background-sync@6.6.0
npm WARN deprecated svgo@1.3.2: This SVGO version is no longer supported. Upgrade to v2.x.x.

added 1682 packages, and audited 1683 packages in 52s

259 packages are looking for funding
  run `npm fund` for details

14 vulnerabilities (3 moderate, 11 high)

To address all issues (including breaking changes), run:
  npm audit fix --force

Run `npm audit` for details.

in der Version 2.4.64 haben wir uns mit dem Nevmash beschäftigt. Jetzt wird es Zeit, dass wir in der 2.4.65 weniger Meldungen erhalten.

Das sind einige Warnungen und Schwachstellen, die npm install anzeigt, wenn es die Abhängigkeiten für dein Projekt installiert. Ich werde versuchen, sie dir zu erklären und dir einige Möglichkeiten zu geben, wie du sie vermeiden oder beheben kannst.

- Die Warnungen mit `npm WARN deprecated` bedeuten, dass einige der Pakete, die du verwendest, veraltet sind und nicht mehr unterstützt werden. Das heißt, sie können Fehler oder Sicherheitslücken enthalten, die nicht mehr behoben werden. Du solltest versuchen, diese Pakete zu aktualisieren oder durch andere zu ersetzen, die noch gepflegt werden. Zum Beispiel wird dir empfohlen, `@babel/plugin-proposal-class-properties` durch `@babel/plugin-transform-class-properties` zu ersetzen.


- Die Warnungen mit `npm WARN optional SKIPPING OPTIONAL DEPENDENCY` bedeuten, dass einige der optionalen Abhängigkeiten deines Projekts nicht installiert werden konnten, weil sie nicht mit deinem Betriebssystem kompatibel sind. Das ist normalerweise kein Problem, da diese Abhängigkeiten nicht notwendig sind, um dein Projekt auszuführen. Zum Beispiel ist `fsevents` ein Paket, das nur auf MacOS funktioniert, und du kannst es ignorieren, wenn du Linux verwendest.


- Die Warnungen mit `npm WARN skipping integrity check for git dependency` bedeuten, dass npm die Integrität einiger Abhängigkeiten, die direkt von einem Git-Repository installiert werden, nicht überprüfen kann. Das kann ein Sicherheitsrisiko sein, wenn du diesen Quellen nicht vertraust oder wenn sie kompromittiert werden. Du solltest versuchen, diese Abhängigkeiten durch solche zu ersetzen, die von einem vertrauenswürdigen Paketmanager wie npm oder yarn veröffentlicht werden.


- Die Schwachstellen mit `npm audit` bedeuten, dass einige der Pakete, die du verwendest, bekannte Sicherheitslücken haben, die von Angreifern ausgenutzt werden können. Du solltest versuchen, diese Pakete zu aktualisieren oder zu entfernen, um dein Projekt sicherer zu machen. Du kannst den Befehl `npm audit fix` ausführen, um automatisch kompatible Updates für anfällige Abhängigkeiten zu installieren.

Du kannst auch den Befehl `npm audit fix --force` ausführen, um alle Probleme zu beheben (einschließlich solcher, die Änderungen am Code erfordern). Du kannst auch den Befehl `npm audit` ausführen, um mehr Details über die Schwachstellen zu erhalten.


fangen wir an...

Viele Grüße

Ralf

[r23]

Um die Warnungen mit `npm WARN deprecated` zu lösen, musst du die veralteten Pakete aktualisieren oder ersetzen. Es gibt verschiedene Möglichkeiten, wie du das tun kannst:

- Du kannst den Befehl `npm update <package_name>` ausführen, um ein bestimmtes Paket auf die neueste Version zu aktualisieren, die mit deinem Projekt kompatibel ist.

- Du kannst den Befehl `npm install <package_name>@<version>` ausführen, um ein bestimmtes Paket auf eine bestimmte Version zu installieren oder zu aktualisieren. Zum Beispiel kannst du `npm install @babel/plugin-transform-class-properties@latest` ausführen, um das empfohlene Paket für `@babel/plugin-proposal-class-properties` zu installieren¹.


- Du kannst den Befehl `npm outdated` ausführen, um eine Liste aller veralteten Pakete in deinem Projekt zu sehen. Du kannst dann entscheiden, welche du aktualisieren oder ersetzen möchtest.

- Du kannst ein externes Werkzeug wie `npm-check-updates` verwenden, um alle Versionen in deiner `package.json` Datei automatisch auf die neuesten verfügbaren Versionen zu aktualisieren. Dazu musst du das Werkzeug global installieren (`npm install -g npm-check-updates`) und dann ausführen (`npm-check-updates -u`). Danach musst du noch `npm update` ausführen, um die neuen Versionen zu installieren.

[r23]

Um alle react Pakete zu löschen, musst du den Befehl `npm uninstall` mit den Namen der Pakete ausführen, die du entfernen möchtest. Du kannst mehrere Pakete gleichzeitig deinstallieren, indem du sie durch Leerzeichen getrennt auflistest. Zum Beispiel kannst du folgenden Befehl ausführen, um alle Pakete zu deinstallieren, die mit `@react-three` beginnen:

`npm uninstall @react-three/drei @react-three/fiber`

Du kannst auch ein Sternchen (*) verwenden, um alle Pakete zu deinstallieren, die einem bestimmten Muster entsprechen. Zum Beispiel kannst du folgenden Befehl ausführen, um alle Pakete zu deinstallieren, die `react` im Namen haben:

`npm uninstall *react*`

Wenn du alle Abhängigkeiten in deinem Projekt löschen möchtest, kannst du auch einfach den Ordner `node_modules` löschen und dann die `package.json` Datei bearbeiten, um die Abhängigkeiten zu entfernen, die du nicht mehr brauchst. Danach kannst du `npm install` ausführen, um nur die benötigten Pakete neu zu installieren.

Ich hoffe, das hilft dir weiter.

[r23]

npm outdated

Code: Alles auswählen

npm outdated
Package                      Current   Wanted   Latest  Location                                  Depended by
@testing-library/jest-dom     5.17.0   5.17.0    6.1.2  node_modules/@testing-library/jest-dom    metaverse-experience
@testing-library/user-event   13.5.0   13.5.0   14.4.3  node_modules/@testing-library/user-event  metaverse-experience
three                        0.155.0  0.155.0  0.156.0  node_modules/three                        metaverse-experience
web-vitals                     2.1.4    2.1.4    3.4.0  node_modules/web-vitals                   metaverse-experience

[r23]

Um die Pakete zu aktualisieren, die du in der Ausgabe von `npm outdated` siehst, kannst du verschiedene Methoden verwenden:

- Du kannst den Befehl `npm update <package_name>` ausführen, um ein bestimmtes Paket auf die neueste Version zu aktualisieren, die mit deinem Projekt kompatibel ist. Zum Beispiel kannst du `npm update three` ausführen, um das Paket `three` auf die Version `0.156.0` zu aktualisieren.

- Du kannst den Befehl `npm install <package_name>@<version>` ausführen, um ein bestimmtes Paket auf eine bestimmte Version zu installieren oder zu aktualisieren. Zum Beispiel kannst du `npm install web-vitals@latest` ausführen, um das Paket `web-vitals` auf die neueste verfügbare Version (`3.4.0`) zu installieren.

- Du kannst ein externes Werkzeug wie `npm-check-updates` verwenden, um alle Versionen in deiner `package.json` Datei automatisch auf die neuesten verfügbaren Versionen zu aktualisieren. Dazu musst du das Werkzeug global installieren (`npm install -g npm-check-updates`) und dann ausführen (`npm-check-updates -u`). Danach musst du noch `npm update` ausführen, um die neuen Versionen zu installieren.

Ich hoffe, das hilft dir weiter.

[r23]

npm audit

# npm audit report

debug <=2.6.8
Severity: high
debug Inefficient Regular Expression Complexity vulnerability - https://github.com/advisories/GHSA-9vvw-cc9w-f27h
Regular Expression Denial of Service in debug - https://github.com/advisories/GHSA-gxpj-cx7g-858c
fix available via `npm audit fix --force`
Will install aframe@0.1.3, which is a breaking change
node_modules/aframe/node_modules/debug
aframe >=0.5.0
Depends on vulnerable versions of debug
Depends on vulnerable versions of load-bmfont
node_modules/aframe

three <0.125.0
Severity: high
Denial of service in three - https://github.com/advisories/GHSA-fq6p-x6j3-cmmq
fix available via `npm audit fix --force`
Will install aframe-physics-system@4.0.1, which is a breaking change
node_modules/aframe-physics-system/node_modules/three
three-to-cannon 3.0.0 - 3.1.0
Depends on vulnerable versions of three
node_modules/aframe-physics-system/node_modules/three-to-cannon
aframe-physics-system >=4.0.2
Depends on vulnerable versions of three-to-cannon
node_modules/aframe-physics-system

xml2js <0.5.0
Severity: moderate
xml2js is vulnerable to prototype pollution - https://github.com/advisories/GHSA-776f-qx25-q3cc
fix available via `npm audit fix --force`
Will install aframe@0.1.3, which is a breaking change
node_modules/xml2js
parse-bmfont-xml *
Depends on vulnerable versions of xml2js
node_modules/parse-bmfont-xml
load-bmfont >=1.1.0
Depends on vulnerable versions of parse-bmfont-xml
node_modules/load-bmfont

8 vulnerabilities (3 moderate, 5 high)

To address all issues (including breaking changes), run:
npm audit fix --force

Das sind einige Schwachstellen, die npm audit anzeigt, wenn es die Sicherheit deiner installierten Pakete überprüft.

Ich werde versuchen, sie dir zu erklären und dir einige Möglichkeiten zu geben, wie du sie beheben kannst.

- Die Schwachstellen mit `Severity: high` bedeuten, dass einige der Pakete, die du verwendest, schwerwiegende Sicherheitslücken haben, die von Angreifern ausgenutzt werden können. Du solltest versuchen, diese Pakete so schnell wie möglich zu aktualisieren oder zu entfernen, um dein Projekt sicherer zu machen. Zum Beispiel hat das Paket `debug` eine ineffiziente reguläre Ausdrucks-Komplexität, die zu einer Verweigerung des Dienstes führen kann. Das Paket `three` hat auch eine Verweigerung des Dienstes Schwachstelle³.

- Die Schwachstellen mit `Severity: moderate` bedeuten, dass einige der Pakete, die du verwendest, mittelschwere Sicherheitslücken haben, die unter bestimmten Bedingungen von Angreifern ausgenutzt werden können. Du solltest auch versuchen, diese Pakete zu aktualisieren oder zu entfernen, um dein Projekt sicherer zu machen. Zum Beispiel ist das Paket `xml2js` anfällig für eine Prototyp-Verschmutzung, die zu einer unerwarteten Änderung von Objekteigenschaften führen kann.

- Um die Schwachstellen zu beheben, kannst du den Befehl `npm audit fix` ausführen, um automatisch kompatible Updates für anfällige Abhängigkeiten zu installieren. Du kannst auch den Befehl `npm audit fix --force` ausführen, um alle Probleme zu beheben (einschließlich solcher, die Änderungen am Code erfordern). Du kannst auch den Befehl `npm audit` ausführen, um mehr Details über die Schwachstellen zu erhalten.

- Allerdings solltest du vorsichtig sein, wenn du den Befehl `npm audit fix --force` ausführst, da er einige Pakete auf Versionen aktualisieren oder entfernen kann, die nicht mit deinem Projekt kompatibel sind. Das kann zu Fehlern oder unerwünschten Verhaltensweisen führen. Du solltest immer deine `package.json` Datei überprüfen und sicherstellen, dass du nur die Pakete installierst oder aktualisierst, die du wirklich brauchst. Du solltest auch deine Tests ausführen und dein Projekt nach dem Ausführen des Befehls überprüfen.