好久沒有作 hexo 更新了,
本身這個 Blog 就是透過 hexo 與 Github 建置的 。
眨眼也過了兩年,文筆仍然很差;
說真的有很大的資訊焦慮,文章的內容也不夠充實,
很多觀點無法忠實的記錄下來,更無法連貫成線;
自已還要多方努力與學習。
如前面所說,這個 Blog 是透過 Github 作存放的空間,
雖然 Github 最近被 Microsoft 收購了;
不過它仍是開發人員最常使用的代碼托管服務與社群,
而且微軟近年轉型相同成功 –— 未來會怎麼樣我們可以觀察後再下定論。
Github 一直以來都有一個很棒的功能,
GitHub’s security alerts for vulnerable dependencies
它能夠對你的 Repo 提供安全警告,
如下圖,這是對我的個人 Blog 所使用的框架 Hexo 的相依性安全警告,
這封信說明了 lodash 這個套件的版本存在著高風險的資安問題,
建議升級套件以解決這個問題。
解決方式
使用 npm update
, 這個命令會更新專案的 package 到最新版本
1 | npm update |
可能會看到類似以下的結果,同時提示你可以使用 npm audit fix
更新有風險的 package 以修複這些漏洞
1 | npm WARN optional SKIPPING OPTIONAL DEPENDENCY: [email protected] (node_modules\nunjucks\node_modules\fsevents): |
(fin)