Ember 如何更新 NPM 包 clean-css

Question

NPM Audit 表明 clean-css 中存在低级漏洞，已在 >= 4.1.11.

中修补

               === npm audit security report ===                        

                             Manual Review                                  
         Some vulnerabilities require your attention to resolve             

      Visit https://go.npm.me/audit-guide for additional guidance           

Low             Regular Expression Denial of Service                          

Package         clean-css                                                     

Patched in      >=4.1.11                                                      

Dependency of   ember-cli [dev]                                               
              broccoli-clean-css > clean-css-promise > clean-css            

More info       https://npmjs.com/advisories/785 

运行 NPM list clean-css 显示以下结果：

+-- clean-css@4.2.3
`-- ember-cli@3.16.0
  `-- ember-cli-preprocess-registry@3.3.0
    `-- broccoli-clean-css@1.1.0
      `-- clean-css-promise@0.1.1
        `-- clean-css@3.4.28

如何更新这个包？

诊断：

运行 npm audit fix 不起作用。

运行 npm outdated 不起作用，因为没有结果。

运行 以下内容不起作用：

ncu -u
npm update
npm install

运行 以下内容不起作用：

运行 以下内容不起作用：

npm update --save-dev clean-css-promise
npm update --save-dev broccoli-clean-css
npm update --save-dev clean-css-promise
npm install

Answer 1

因此您可能对此无能为力，您只能任由依赖项的依赖项摆布。

您只能更新您控制的那些，在本例中是 ember-cli。如果你不能更新它，或者是最新的版本，那么你就会等待其他包维护者在他们的依赖项中修复它（如果他们需要这些包，ember-cli 就会卡住等待，依此类推。

与此同时，请按照评论之一的建议冷静下来。