更新传递依赖

Question

我运行npm audit并收到一条消息assign-deep有漏洞，但已在 1.0.1 中修复

\n\n

不幸的是，这是一个传递依赖。有没有办法更新此传递依赖项，使其使用 v1.0.1 ？

\n\n

  \xe2\x94\x94\xe2\x94\x80\xe2\x94\xac update@0.7.4\n    \xe2\x94\x94\xe2\x94\x80\xe2\x94\xac assemble-core@0.25.0\n      \xe2\x94\x94\xe2\x94\x80\xe2\x94\xac templates@0.24.3\n        \xe2\x94\x94\xe2\x94\x80\xe2\x94\xac engine-base@0.1.3\n          \xe2\x94\x94\xe2\x94\x80\xe2\x94\xac engine@0.1.12\n            \xe2\x94\x94\xe2\x94\x80\xe2\x94\x80 assign-deep@0.4.8 \n

\n

Answer 1

查看该漏洞对该树的第一个依赖项是否有更新

首先，检查update@0.7.4是否有解决此问题的更新，如果存在，请更新。

update@0.7.4 可能没有解决该问题的更新，因为所有者尚未处理该漏洞。

如果第一个依赖项没有更新来解决它。（并且依赖项是开源的）

然后你可以启动一个进程：

1. 分叉使用 update@0.7.4 的存储库，看看是否可以通过更新第二个依赖项轻松清除该漏洞。如果很容易，请更新它，现在在您的存储库中您将使用对此分支的引用而不是原始依赖项。此时，如果相关依赖项是开源的，最好也向该依赖项发送 PR。
2. 如果此时尚无解决该漏洞的更新，您将需要执行以下步骤。并尝试复制步骤 1，并依赖于第二级。这可能会导致您使用 update@0.7.4 的分支，它指向 assemble-core@0.25.0 的分支。如果可能，您还可以发送 PR 来修复更改。
3. 冲洗并重复，直到可以更新为止！

如果依赖项不是开源的

向没有漏洞更新的依赖项投诉:)

悲伤但真实。

我不建议使用 hack 来仅在您的存储库中更新传递依赖项

因为使用它的依赖项可能会与它的新版本冲突或者出现意外的问题。特别是在这种情况下，因为现在它将发生重大（0=>1）变化。这意味着可能会有很多新事物和重大变化。