目前
我在 2 个位置有 immer
作为依赖项。
+-- aws-amplify@4.3.1
| `-- @aws-amplify/datastore@3.4.7
| `-- immer@9.0.6
`-- react-scripts@4.0.3
`-- react-dev-utils@11.0.4
`-- immer@8.0.1
问题
immer
的旧版本存在严重漏洞。我需要更新依赖项。
问题
更新旧的 immer 依赖项的 CLI 命令是什么?
注意事项
- 我一直在寻找这个问题的答案,我怀疑这个解决方案非常简单,因为我找不到这个问题的任何答案。
- 我已经尝试了
npm update immer
和npm --depth 5 update immer
都没有解决问题。
最佳答案
第 1 部分
仅将这部分视为学术答案。不要在现实生活中的项目中使用。
严格回答你的问题:
What is the CLI command to update the older immer dependency?
您可以使用 npm shrinkwrap 手动管理嵌套依赖项:
npm shrinkwrap
这会将 package-lock.json
重命名为 npm-shrinkwrap.json
。它们是相同的,除了可以手动编辑 npm-shrinkwrap.json
来设置依赖版本。
在这种情况下,在 shrinkwrap 文件中找到 "immer": "8.0.1"
并将其更新为您想要的版本:
"node_modules/react-dev-utils": {
"version": "11.0.4",
"resolved": "https://registry.npmjs.org/react-dev-utils/-/react-dev-utils-11.0.4.tgz",
"integrity": "sha512-...",
"dependencies": {
...
"immer": "8.0.1", <== Change this to "9.0.6"
然后删除此 block 以允许 npm 使用更新的版本:
"node_modules/react-dev-utils/node_modules/immer": {
"version": "8.0.1",
"resolved": "https://registry.npmjs.org/immer/-/immer-8.0.1.tgz",
"integrity": "sha512-...",
"funding": {
"type": "opencollective",
"url": "https://opencollective.com/immer"
}
},
之后您可以运行 npm i
然后检查您的依赖项:
$ npm i
$ npm list immer
playground@1.0.0 /private/tmp/playground
├─┬ aws-amplify@4.3.2
│ └─┬ @aws-amplify/datastore@3.4.8
│ └── immer@9.0.6
└─┬ react-scripts@4.0.3
└─┬ react-dev-utils@11.0.4
└── immer@9.0.6 deduped
请记住,手动升级嵌套依赖项可能会产生不良影响。在这种情况下,将 react-dev-utils
使用的 immer
升级到 9.0.6
可能会破坏部分 react-dev- utils
功能,因为 immer@9.0.9
是 8.0.1
之前的主要版本。主要版本可以包含向后不兼容的更改。
您可能会因为根本不会影响您的漏洞而破坏您的部分工具;并检查 react-dev-utils
中 immer
的确切用法并确保该用法与 9.0.6
兼容可能需要很长时间消费。
第 2 部分
这是在不回答您的问题的情况下解决问题的尝试
解决问题:
The older version of immer has a critical vulnerability.
并非所有漏洞都会影响您的最终用户。这个特殊的漏洞是 reported on create-react-app并被归类为“仅限开发”问题,不会影响用户,因为它不会出现在浏览器上运行的代码中。
有关这方面的更多信息,请访问 another issue on create-react-app .
我解决漏洞的常用步骤:
- 如果可能,将所有依赖项升级到最新的稳定版本
- 如果漏洞仍然存在,请阅读咨询页面以了解它是否对我有影响。
npm audit
提供了详细信息。请记住,开发工具中的漏洞不一定是用户的问题。 - 访问顶级依赖的 npm 页面,转到它的问题跟踪器,如果没有报告则报告
- 如果项目接受贡献并且修复相当简单,请打开拉取请求并提供帮助。
- 不得已:降级,将嵌套依赖升级到破坏版本,如果不维护则替换包
在这种情况下,create-react-app
的维护者已经看到并建议这是构建工具上下文中的误报。
关于node.js - 什么 NPM CLI 命令可用于更新依赖项的依赖项?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69490137/