Can't pass "npm audit"

[ozbillwang]

Try to fix with npm audit fix, but still has several vulnerabilities.

fixed 1 of 4 vulnerabilities in 2993 scanned packages
  3 vulnerabilities required manual review and could not be updated
  1 package update for 1 vuln involved breaking changes
  (installed due to `--force` option)

Here is the log for reference

$ npm audit

                       === npm audit security report ===

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.11                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ 32e31a0cff265f04f722b247a8339150dd6f3500f1bdc1c84db9b3aa09c… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ 32e31a0cff265f04f722b247a8339150dd6f3500f1bdc1c84db9b3aa09c… │
│               │ > lodash                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/782                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ 32e31a0cff265f04f722b247a8339150dd6f3500f1bdc1c84db9b3aa09c… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ 32e31a0cff265f04f722b247a8339150dd6f3500f1bdc1c84db9b3aa09c… │
│               │ > lodash                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/577                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >= 2.6.9 < 3.0.0 || >= 3.1.0                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ github-release [dev]                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ github-release > debug                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/534                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 3 vulnerabilities (2 low, 1 high) in 2931 scanned packages
  3 vulnerabilities require manual review. See the full report for details.

[ozbillwang]

https://github.com/lodash/lodash/issues/4348

[benpetty]

Current audit as of 3/14/2020 (v 4.8.0)

                       === npm audit security report ===

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary File Write                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ mongodb-runner [dev]                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ mongodb-runner > mongodb-version-manager > download >        │
│               │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1217                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 1 high severity vulnerability in 1192206 scanned packages
  1 vulnerability requires manual review. See the full report for details.