如何修复需要半主要依赖更新的npm漏洞？

Question

我从https://github.com/kitware/paraviewweb克隆了ParaViewWeb，然后执行了以下操作；

$ npm install
$ npm audit fix

留给我的是：

found 42 vulnerabilities (9 low, 23 moderate, 10  high) in 41716 scanned packages
14 vulnerabilities require semver-major dependency updates.
28 vulnerabilities require manual review.

我如何修复需要半主要依赖更新的14个漏洞？

Answer 1

当您运行npm audit时，应该有一行告诉您如何更新它，例如：

# Run  npm install --save-dev example@5.0.2  to resolve 1 vulnerability
# SEMVER WARNING: Recommended action is a potentially breaking change

只需执行该命令即可修复它。

Answer 2

如果您已经确定需要运行所有更新，请使用：

npm audit fix --force

来自npm Docs

如果元漏洞链一直延伸到根项目，并且在不更改其依赖范围的情况下无法更新，那么npm审计修复将需要--force选项来应用补救。如果补救不要求更改依赖项范围，则所有易受攻击的包都将更新到没有发布建议或元漏洞的版本。

Answer 3

如果你在我的情况下，目前还没有修复。

您可能需要自己完成修复:进入包并手动更改其package.json版本。

或

在包上打开一个问题，希望它仍然由创建者维护。

https://docs.npmjs.com/auditing-package-dependencies-for-security-vulnerabilities

有一个建议修复的列表。