TLDR: อัปเดตแพ็กเกจหลักโดยใช้npm i $PARENT_PKG_NAME
.
บันทึก
เมื่ออัปเดตการอ้างอิงคุณควรตรวจสอบ CHANGELOG เพื่อดูการเปลี่ยนแปลงที่ไม่สมบูรณ์
การวินิจฉัย
npm audit
จะเปิดเผยทั้งแพ็กเกจที่มีช่องโหว่ (โปรดทราบว่าคุณจะต้องมีไฟล์ package-lock.json สำหรับสิ่งนี้ดังนั้นคุณจะต้องเรียกใช้npm i
) รวมถึงแพ็กเกจที่ต้องพึ่งพา (ถ้ามี) โปรดทราบว่าคุณสามารถใช้ไฟล์npm ls $CHILD_PKG_NAME
เพื่อดูการอ้างอิงระดับบนสุด
ความพยายามแก้ไขด่วน
npm audit fix
และ npm audit fix --force
คุ้มค่าที่จะลอง แต่บางครั้งการแก้ไขจะต้องดำเนินการด้วยตนเอง (ดูด้านล่าง)
แก้ไขด้วยตนเอง
เป็นไปได้มากว่าแพ็กเกจหลักจะได้แก้ไขการอ้างอิงแล้ว (คุณสามารถตรวจสอบได้โดยไปที่ GitHub ของพวกเขาและตรวจสอบการคอมมิตล่าสุดหรือเพียงแค่ดูว่าสิ่งนี้แก้ไขได้หรือไม่) ดังนั้นคุณสามารถเรียกใช้ npm i $PARENT_PKG_NAME @$NEW_VERSION
และจะอัปเดตการล็อกแพ็กเกจ .json.
หากผู้ปกครองไม่ได้แก้ไขช่องโหว่
หากผู้ดูแลดูเหมือนจะไม่ตอบสนองคุณอาจลองใช้แพ็คเกจทางเลือกที่ทำสิ่งเดียวกันหรือปลอมแพ็คเกจและอัปเดตช่องโหว่ด้วยตัวเอง
ยืนยันการแก้ไข
ตอนนี้คุณสามารถตรวจสอบได้ว่ามันทำงานได้โดยการเรียกใช้npm audit
และตรวจสอบว่าไม่มีช่องโหว่ปรากฏ ยอมรับการเปลี่ยนแปลงของคุณส่งไปที่ GitHub รีเฟรชการแจ้งเตือน / การแจ้งเตือนของคุณและควรจะหายไป!