Node.js nsp在依赖项的依赖项中发现漏洞时该怎么办_Node.js_Npm_Winston_Npm Update

Node.js nsp在依赖项的依赖项中发现漏洞时该怎么办

node.js npm

Node.js nsp在依赖项的依赖项中发现漏洞时该怎么办,node.js,npm,winston,npm-update,Node.js,Npm,Winston,Npm Update,我在即将部署的项目上运行nsp，发现了此漏洞 Name │ mime CVSS │ 7.5 (High) Installed │ 1.2.11 Vulnerable │ < 1.4.1 || > 2.0.0 < 2.0.3 Patched │ >= 1.4.1 < 2.0.0 || >= 2.0.3 Path │ myProject@1.0.0 > winston

我在即将部署的项目上运行nsp，发现了此漏洞

 Name          │ mime
 CVSS          │ 7.5 (High)
 Installed     │ 1.2.11
 Vulnerable    │ < 1.4.1 || > 2.0.0 < 2.0.3
 Patched       │ >= 1.4.1 < 2.0.0 || >= 2.0.3
 Path          │ myProject@1.0.0 > winston-s3@1.0.0 > winston@0.7.3 > request@2.16.6 > form-data@0.0.10 > mime@1.2.11
 More Info     │ https://nodesecurity.io/advisories/535

名称│ 哑剧表演
CVSS│ 7.5（高）
安装│ 1.2.11
脆弱的│ < 1.4.1 || > 2.0.0 < 2.0.3
修补│ >= 1.4.1 < 2.0.0 || >= 2.0.3
路径│ myProject@1.0.0>温斯顿-s3@1.0.0 > winston@0.7.3 > request@2.16.6>表格-data@0.0.10 > mime@1.2.11
更多信息│ https://nodesecurity.io/advisories/535

现在我知道我需要更新“mime”依赖项，但我的问题是该漏洞位于依赖项的依赖项的依赖项中

我的“winston-s3”依赖项是最新的，当我要访问“node_modules/winston-s3/node_modules/winston/”时，没有“node_modules”目录，主“node_modules”目录中的“mime”依赖项是最新的，所以我猜winston-s3没有使用此代码

你知道怎么解决这个问题吗

非常感谢