npm audit fix 未修复低漏洞
npm audit fix not fixing low vulnerability
我正在使用 nightmare 进行 testing.After 运行 npm 审核 我收到有关 lodash 原型的警告 pollution.I 试图通过 运行 解决此问题 npm audit fix 但没有 result.After 我尝试使用 --force 但仍然得到:
fixed 0 of 1 vulnerability in 2108 scanned packages
1 vulnerability required manual review and could not be updated
有什么办法可以解决吗?
截图如下:
npm 依赖项不会自动升级到更高的主要版本。因此,如果包 A 依赖于包 B 且版本规范如下:
// A/package.js
dependencies: {
"B": "^2.1.3"
}
然后 npm 将使 B 保持最新的任何版本 2.x.y where x >= 1 and (y >= 3 if x == 1 or y >= 0如果 x > 1).
但是,如果安全修复发生在 B 版本 3.v.w 中,那么安全问题将保留在您的 npm 存储库中。
这里的问题是,为了能够使用版本 3.v.w,您可能必须更新 A,因为 2 和 3 之间很可能有重大更改(即函数名称已更改或删除了对某个 属性 的支持。)
以下是 react-idle-timer 模块中的重大更改示例:
从 v3 迁移到 v4
版本 4 中有一些重大更改:
- 虽然仍然能够呈现子项,但从版本 4 开始,我们不会将子项传递给
IdleTimer。除非你真的很擅长 shouldComponentUpdate,否则你应该避免使用 IdleTimer 作为包装组件。
- 属性
startOnLoad 已重命名为 startOnMount 以便在 React 上下文中更有意义。
- 属性
activeAction 已重命名为 onActive。
- 属性
idleAction 已重命名为 onIdle。
我正在使用 nightmare 进行 testing.After 运行 npm 审核 我收到有关 lodash 原型的警告 pollution.I 试图通过 运行 解决此问题 npm audit fix 但没有 result.After 我尝试使用 --force 但仍然得到:
fixed 0 of 1 vulnerability in 2108 scanned packages
1 vulnerability required manual review and could not be updated
有什么办法可以解决吗?
截图如下:
npm 依赖项不会自动升级到更高的主要版本。因此,如果包 A 依赖于包 B 且版本规范如下:
// A/package.js
dependencies: {
"B": "^2.1.3"
}
然后 npm 将使 B 保持最新的任何版本 2.x.y where x >= 1 and (y >= 3 if x == 1 or y >= 0如果 x > 1).
但是,如果安全修复发生在 B 版本 3.v.w 中,那么安全问题将保留在您的 npm 存储库中。
这里的问题是,为了能够使用版本 3.v.w,您可能必须更新 A,因为 2 和 3 之间很可能有重大更改(即函数名称已更改或删除了对某个 属性 的支持。)
以下是 react-idle-timer 模块中的重大更改示例:
从 v3 迁移到 v4
版本 4 中有一些重大更改:
- 虽然仍然能够呈现子项,但从版本 4 开始,我们不会将子项传递给
IdleTimer。除非你真的很擅长shouldComponentUpdate,否则你应该避免使用IdleTimer作为包装组件。 - 属性
startOnLoad已重命名为startOnMount以便在 React 上下文中更有意义。 - 属性
activeAction已重命名为onActive。 - 属性
idleAction已重命名为onIdle。