我正在使用nightmare
进行测试。运行npm审核后,我得到关于lodash原型污染的警告。我试图通过运行npm audit fix
但没有结果来解决这个问题。之后我尝试使用--force
但仍然得到:
fixed 0 of 1 vulnerability in 2108 scanned packages
1 vulnerability required manual review and could not be updated
任何想法我该如何解决?
npm
依赖项不会自动升级到更高版本。因此,如果包A
依赖于包B
与版本规范,如:
// A/package.js
dependencies: {
"B": "^2.1.3"
}
然后npm
将使B
保持最新版本2.x.y,其中x> = 1和(如果x = 1,则y> = 3,如果x> 1,则y> = 0)。
但是,如果安全修复程序发生在B
版本3.v.w中,那么安全问题将保留在您的npm
存储库中。
这里的问题是,为了能够使用版本3.v.w,您可能必须更新A
,因为它可能在2和3之间存在重大更改(即更改了函数名称或删除了对某个属性的支持。)
以下是在react-idle-timer模块中打破更改的示例:
版本4中有一些重大更改:
IdleTimer
。除非你对shouldComponentUpdate
真的很好,否则你应该避免使用IdleTimer
作为包装组件。startOnLoad
属性已更名为startOnMount
,以便在React环境中更有意义。activeAction
酒店已更名为onActive
。idleAction
酒店已更名为onIdle
。