node.js - 什么 NPM CLI 命令可用于更新依赖项的依赖项?

标签 node.js npm npm-update

目前

我在 2 个位置有 immer 作为依赖项。

+-- aws-amplify@4.3.1
| `-- @aws-amplify/datastore@3.4.7
|   `-- immer@9.0.6
`-- react-scripts@4.0.3
  `-- react-dev-utils@11.0.4
    `-- immer@8.0.1

问题

immer 的旧版本存在严重漏洞。我需要更新依赖项。

问题

更新旧的 immer 依赖项的 CLI 命令是什么?

注意事项

  • 我一直在寻找这个问题的答案,我怀疑这个解决方案非常简单,因为我找不到这个问题的任何答案。
  • 我已经尝试了 npm update immernpm --depth 5 update immer 都没有解决问题。

最佳答案

第 1 部分

仅将这部分视为学术答案。不要在现实生活中的项目中使用。

严格回答你的问题:

What is the CLI command to update the older immer dependency?

您可以使用 npm shrinkwrap 手动管理嵌套依赖项:

npm shrinkwrap

这会将 package-lock.json 重命名为 npm-shrinkwrap.json。它们是相同的,除了可以手动编辑 npm-shrinkwrap.json 来设置依赖版本。 在这种情况下,在 shrinkwrap 文件中找到 "immer": "8.0.1" 并将其更新为您想要的版本:

  "node_modules/react-dev-utils": {
  "version": "11.0.4",
  "resolved": "https://registry.npmjs.org/react-dev-utils/-/react-dev-utils-11.0.4.tgz",
  "integrity": "sha512-...",
  "dependencies": {
    ...
    "immer": "8.0.1", <== Change this to "9.0.6"

然后删除此 block 以允许 npm 使用更新的版本:

  "node_modules/react-dev-utils/node_modules/immer": {
    "version": "8.0.1",
    "resolved": "https://registry.npmjs.org/immer/-/immer-8.0.1.tgz",
    "integrity": "sha512-...",
    "funding": {
      "type": "opencollective",
      "url": "https://opencollective.com/immer"
    }
  },

之后您可以运行 npm i 然后检查您的依赖项:

$ npm i
$ npm list immer

playground@1.0.0 /private/tmp/playground
├─┬ aws-amplify@4.3.2
│ └─┬ @aws-amplify/datastore@3.4.8
│   └── immer@9.0.6
└─┬ react-scripts@4.0.3
  └─┬ react-dev-utils@11.0.4
    └── immer@9.0.6 deduped

请记住,手动升级嵌套依赖项可能会产生不良影响。在这种情况下,将 react-dev-utils 使用的 immer 升级到 9.0.6 可能会破坏部分 react-dev- utils 功能,因为 immer@9.0.98.0.1 之前的主要版本。主要版本可以包含向后不兼容的更改。

您可能会因为根本不会影响您的漏洞而破坏您的部分工具;并检查 react-dev-utilsimmer 的确切用法并确保该用法与 9.0.6 兼容可能需要很长时间消费。

第 2 部分

这是在不回答您的问题的情况下解决问题的尝试

解决问题:

The older version of immer has a critical vulnerability.

并非所有漏洞都会影响您的最终用户。这个特殊的漏洞是 reported on create-react-app并被归类为“仅限开发”问题,不会影响用户,因为它不会出现在浏览器上运行的代码中。

有关这方面的更多信息,请访问 another issue on create-react-app .

我解决漏洞的常用步骤:

  1. 如果可能,将所有依赖项升级到最新的稳定版本
  2. 如果漏洞仍然存在,请阅读咨询页面以了解它是否对我有影响。 npm audit 提供了详细信息。请记住,开发工具中的漏洞不一定是用户的问题。
  3. 访问顶级依赖的 npm 页面,转到它的问题跟踪器,如果没有报告则报告
  4. 如果项目接受贡献并且修复相当简单,请打开拉取请求并提供帮助。
  5. 不得已:降级,将嵌套依赖升级到破坏版本,如果不维护则替换包

在这种情况下,create-react-app 的维护者已经看到并建议这是构建工具上下文中的误报。

关于node.js - 什么 NPM CLI 命令可用于更新依赖项的依赖项?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69490137/

上一篇:c++ - 如何使用 gcc/g++ 11.1 导入模块

下一篇:javascript - 在 state 和 ref 中保持相同的值是 React 中的常见做法吗?

相关文章:

javascript - 数据关闭时 npm run watch 无法编译

node.js - 如何将 NodeJS 和 NPM 更新到最新版本?

node.js - 使用 package-lock.json 更新中间 npm 依赖项

node.js - 如果可用,则快速重定向到静态 html,否则自定义路径

javascript - 'form-data/multipart' 类型的 HTTPS 请求(使用 https nodejs 模块)不起作用

ios - Heroku 应用程序不断崩溃

php - laravel 6 身份验证 "npm run dev not working"

npm-install - 由 Angular 提供的 es5BrowserSupport

javascript - 向 Fluxpoint api 发送请求时出错

javascript - 在 Node JS 中获取、操作和编写(响应)巨大 JSON 的最佳方式?

©2024 IT工具网  联系我们