强制npm更新依赖关系

Question

在我的项目中，我使用了"laravel-mix"，它依赖于"webpack-dev-server“。

"npm审核“在我的版本webpack开发服务器上报告了一个高严重脆弱性，所以我一直试图将它更新为最新版本。但没有成功。

我试过了

npm update
npm update webpack-dev-server
npm update laravel-mix

没有成功..。我想问题是拉拉-混合已经是最新的，但它的依赖性不是..。

我试图将webpack-dev服务器的更高版本添加为依赖项，希望它能够取代旧版本，但我只是将这两个版本共存在一起：

npm ls webpack-dev-server
+-- laravel-mix@2.1.14
| `-- webpack-dev-server@2.11.3
`-- webpack-dev-server@3.1.10

有没有办法迫使webpack开发服务器依赖关系的更新？我需要laravel混合用于这个项目，而且由于我的资产是在生产服务器上编译的，所以我甚至不能将它设置为只依赖于开发。

Answer 1

不幸的是，如果您使用的包已经固定了自己的依赖项，则无法在项目的顶层修复它，尽管这是npm未来计划的特性，允许别名覆盖子依赖项。

您可以看到一个这里的简短指南来手动检查子依赖项，并为项目创建一个PR以获得他们自己的依赖关系。

将来，如果npm audit fix在您使用的版本上可用，我是否也建议使用它，因为如果可以的话，这将尝试自动修复问题。

顺便说一句，我不会太担心这个易受攻击的包，尽管它的严重性很高，但只有在生产中使用dev-server时才会出现问题，正如它所说的，在tin上的 dev ，您肯定不应该在任何地方使用它，而应该在dev中使用它。:-)

Answer 2

我们对puppeteer > extract-zip > mkdirp > minimist有一个简单的问题，其中minimist有一个安全漏洞。它已经升级了，mkdirp也被升级了，但是extract-zip在写这篇文章的时候还没有。

在npx npm-force-resolutions中的scripts条目下使用package.json似乎已经做到了这一点。

$ git diff package.json 
diff --git a/package.json b/package.json
index cf825cf..0d694b3 100644
--- a/package.json
+++ b/package.json
@@ -8,8 +8,13 @@
     "lib": "lib" 
   },
   "scripts": {
+    "preinstall": "npx npm-force-resolutions",
     "test": "echo \"Error: no test specified\" && exit 1" 
   },
+  "resolutions": {
+    "minimist": "1.2.3",
+    "mkdir": "0.5.3" 
+  },

然后运行npm install：

$ npm install && npm audit

> sge@1.0.0 preinstall /home/jlam/code/prjName
> npx npm-force-resolutions

npx : 5 installé(s) en 5.733s
added 1 package from 1 contributor, removed 1 package and audited 72 packages in 7.212s

[...]

found 0 vulnerabilities

[...]    

                       === npm audit security report ===                        

found 0 vulnerabilities
 in 72 scanned packages