Блог

Я потерял 1 день, чтобы попытаться вручную исправить несколько высоких уязвимостей. Это была пустая трата времени.

Я прочитал много постов, блогов и предложений, но не смог решить проблему.

В основном /css-то, что требует обновления до версии 5.0.1, и аудит npm говорит о том, что

 │ Dependency of │ gulp-imagemin [dev]  
                                    
│ Path          │ gulp-imagemin > imagemin-svgo > svgo > css-select > 
                | css-what 
 

Я запустил (на gulp-imagemin) команду npm update , затем перейдите в следующую папку (imagemin-svgo) и снова npm update и т. Д. и т. Д. Когда я прихожу в css-какой корень, я снова запускаю npm update , но он ничего не делает;

Затем я изменил свой пакет.json в соответствии

 "resolutions": {
"trim-newlines": "^4.0.1",
"css-what": "^5.0.1",
"scripts": {
  "preinstall": "npx npm-force-resolutions"
}
 

}

Я вернулся к основному корню для запуска npm i , но он не изменяет все ветви; Кроме того, когда я запускаю npm ls css-what или npm ls trim-newlines я вижу, что новая версия была установлена на node_modules, но более старая версия все еще остается неизменной в дереве

корень/дерево

Я следил https://hackernoon.com/how-fix-security-vulnerabilities-in-npm-dependencies-in-3-minutes-rq9g3y7u сообщение, но по какой-то причине это не сработало, скорее всего, из-за моей неопытности.

Спасибо за вашу помощь

Чтобы исправить уязвимость, вы можете попробовать :

 npm audit -fix
 

Для обновления вы также можете использовать npm-проверку обновлений

npm update css-what работал на меня