如何更新NPM软件包清洁-css

Question

NPM Audit显示，clean-css中存在一个在>= 4.1.11中修补的低级别漏洞。

               === npm audit security report ===                        

                             Manual Review                                  
         Some vulnerabilities require your attention to resolve             

      Visit https://go.npm.me/audit-guide for additional guidance           

Low             Regular Expression Denial of Service                          

Package         clean-css                                                     

Patched in      >=4.1.11                                                      

Dependency of   ember-cli [dev]                                               
              broccoli-clean-css > clean-css-promise > clean-css            

More info       https://npmjs.com/advisories/785 

运行NPM list clean-css将显示以下结果：

+-- clean-css@4.2.3
`-- ember-cli@3.16.0
  `-- ember-cli-preprocess-registry@3.3.0
    `-- broccoli-clean-css@1.1.0
      `-- clean-css-promise@0.1.1
        `-- clean-css@3.4.28

如何更新这个包？

诊断：

运行npm audit fix不起作用。

运行npm outdated不能工作，因为没有结果。

运行下列操作不起作用：

ncu -u
npm update
npm install

运行下列操作不起作用：

运行下列操作不起作用：

npm update --save-dev clean-css-promise
npm update --save-dev broccoli-clean-css
npm update --save-dev clean-css-promise
npm install

Answer 1

因此，您可能无能为力，这取决于依赖关系的依赖关系。

您只能更新您控制的那些，在本例中是成员-cli。如果您不能更新它，或者处于最更新的版本，那么您将不得不等待其他包维护人员修复它们的依赖项(如果他们需要这些包，那么成员-cli就会在树下等待，等等)。

与此同时，正如其中一条评论所暗示的那样，冷静点。