当项目中出现含有漏洞的库时，通知更新依赖版本来修复漏洞；github出现此类问题会通过邮件通知。本次出现问题是一个叫做tar的库。

npm提供的快速检查和修复依赖漏洞的命令，本次使用并没有修复。

npm audit

这个指令并不会更新依赖，它的作用是检查当前项目下的依赖，并报告依赖中漏洞的危险性，漏洞等级中等和高级会仪黄色和红色标出。

npm audit fix

运行指令后，npm会自动更新到新版本来修复漏洞，最后报告漏洞的修复情况。

按照控制台输入命令 npm audit fix 没有解决问题

输入npm audit手动安装包，显示found 0 vulnerabilities但运行项目仍然出错。

npm audit ： npm@5.10.0 & npm@6，允许开发人员分析复杂的代码，并查明特定的漏洞和缺陷。

npm audit fix ：npm@6.1.0,  检测项目依赖中的漏洞并自动安装需要更新的有漏洞的依赖，而不必再自己进行跟踪和修复。

解决办法：

手动修复tar漏洞

tar作为node_gyp的第三方依赖，不能通过npm命令修复漏洞，需要手动修复。

在项目根目录下：node_moudles->node_gyp->package.json

在dependencies字段下的tar字段，版本号为^2.0.0，在4.4.2以下的版本都存在漏洞，将版本手动修改为^4.4.8

修改完毕后，运行npm audit fix，解决问题。

参考文献： https://blog.csdn.net/weixin_40817115/article/details/81007774

npm install安装项目依赖环境时，出现起因：当项目中出现含有漏洞的库时，通知更新依赖版本来修复漏洞；github出现此类问题会通过邮件通知。本次出现问题是一个叫做tar的库。npm提供的快速检查和修复依赖漏洞的命令，本次使用并没有修复。检查漏洞npm audit这个指令并不会更新依赖，它的作用是检查当前项目下的依赖，并报告依赖中漏洞的危险性，漏洞等级中等和高级会... Vuln Cost-VS Code的安全扫描程序 VS Code中的 漏洞 扫描 在使用JavaScript，TypeScript和HTML进行编码时，查找开源软件包中的安全 漏洞 。接收与您的代码一致的反馈，例如您要导入的程序包包含多少个 漏洞 。最重要的是，如果发现已知 漏洞 ，则提出 修复 建议。如果您喜欢该扩展程序，请对它进行，我们将为您提供。 :locked:您的代码和清单文件永远不会离开您的计算机。 Snyk只需要 依赖 关系名称和版本即可针对我们不断更新的 漏洞 数据库进行测试。 在编码时自动检测第三方开源软件包中的 漏洞 。 在您导入的 npm 软件包中查找安全 漏洞 ：需要时立即查看已导入的 npm 软件包中的已知 漏洞 数量！ 在编写代码时，内联查看 项目 漏洞 ：直接在编辑器中查看反馈。 漏洞 成本显示您的软件包添加到 项目 中的 漏洞 数量。 在来自知名CDNJavaScript包中查找 现在的前端开发几乎都离不开nodejs的包管理器 npm ，比如前端在搭建本地开发服务以及打包编译前端代码等都会用到。在前端开发过程中，经常用到 npm install来 安装 所需的 依赖 ，至于其中的技术细节未做过多的理解，下面就来说说node包管理器 npm 。 依赖 安装 npm install 使用 npm 来管理nodejs的包 依赖 ，需要在 项目 根目录下提供一个package.json文件，其中与包 依赖 相关... 我们按照官网的 安装 步骤来(原谅我根本不明白 漏洞 原因) $ npm install @wepy/cli -g # 全局 安装 WePY CLI 工具 $ wepy init standard myproj # 使用 standard 模板初始化 项目 $ cd myproj # 进入到 项目 目录 $ npm install # 安装 项目 依赖 包 -