npm审计修复程序未修复低漏洞
我正在使用npm审计修复程序未修复低漏洞,npm,lodash,nightmare,npm-audit,Npm,Lodash,Nightmare,Npm Audit,我正在使用噩梦进行测试。运行npm audit后,我收到一条关于lodash原型污染的警告。我试图通过运行npm audit fix来修复此问题,但没有结果。之后,我尝试使用--force但仍然得到: fixed 0 of 1 vulnerability in 2108 scanned packages 1 vulnerability required manual review and could not be updated 有什么好主意吗?我怎么修 以下是一个屏幕截图: npm依赖项
噩梦
进行测试。运行npm audit后,我收到一条关于lodash原型污染的警告。我试图通过运行npm audit fix
来修复此问题,但没有结果。之后,我尝试使用--force
但仍然得到:
fixed 0 of 1 vulnerability in 2108 scanned packages
1 vulnerability required manual review and could not be updated
有什么好主意吗?我怎么修
以下是一个屏幕截图:
npm
依赖项不会自动升级到更高的主版本。因此,如果包A
依赖于包B
的版本规范,例如:
// A/package.js
dependencies: {
"B": "^2.1.3"
}
然后,npm
将使B
对任何版本2.x.y保持最新,其中x>=1和(如果x==1,则y>=3;如果x>1,则y>=0)
但是,如果安全修复发生在B
version 3.v.w中,那么安全问题将保留在npm
存储库中
这里的问题是,为了能够使用版本3.v.w,您可能必须更新A
,因为在2和3之间可能存在突破性的更改(即,函数名更改或对某个属性的支持被删除)
以下是中断模块中更改的示例:
从v3迁移到v4
版本4中有一些突破性的更改:
- 尽管仍然能够渲染子对象,但从版本4开始,我们不会将子对象传递给
。除非您非常擅长使用IdleTimer
,否则应该避免使用shouldComponentUpdate
作为包装器组件IdleTimer
- 属性
已重命名为startOnLoad
,以便在React上下文中更具意义startOnMount
- 属性
已重命名为activeAction
onActive
- 属性
已重命名为idleAction
onIdle