npm审计修复程序未修复低漏洞_Npm_Lodash_Nightmare_Npm Audit

npm审计修复程序未修复低漏洞

npm

npm审计修复程序未修复低漏洞,npm,lodash,nightmare,npm-audit,Npm,Lodash,Nightmare,Npm Audit,我正在使用噩梦进行测试。运行npm audit后，我收到一条关于lodash原型污染的警告。我试图通过运行npm audit fix来修复此问题，但没有结果。之后，我尝试使用--force但仍然得到： fixed 0 of 1 vulnerability in 2108 scanned packages 1 vulnerability required manual review and could not be updated 有什么好主意吗？我怎么修以下是一个屏幕截图： npm依赖项

我正在使用

噩梦

进行测试。运行npm audit后，我收到一条关于lodash原型污染的警告。我试图通过运行

npm audit fix

来修复此问题，但没有结果。之后，我尝试使用

--force

但仍然得到：

fixed 0 of 1 vulnerability in 2108 scanned packages
  1 vulnerability required manual review and could not be updated

有什么好主意吗？我怎么修

以下是一个屏幕截图：

npm

依赖项不会自动升级到更高的主版本。因此，如果包

依赖于包

的版本规范，例如：

// A/package.js
dependencies: {
  "B": "^2.1.3"
}

然后，

npm

将使

对任何版本2.x.y保持最新，其中x>=1和（如果x==1，则y>=3；如果x>1，则y>=0）

但是，如果安全修复发生在

version 3.v.w中，那么安全问题将保留在

npm

存储库中

这里的问题是，为了能够使用版本3.v.w，您可能必须更新

，因为在2和3之间可能存在突破性的更改（即，函数名更改或对某个属性的支持被删除）

以下是中断模块中更改的示例：

从v3迁移到v4 版本4中有一些突破性的更改：

尽管仍然能够渲染子对象，但从版本4开始，我们不会将子对象传递给
```
IdleTimer
```
。除非您非常擅长使用
```
shouldComponentUpdate
```
，否则应该避免使用
```
IdleTimer
```
作为包装器组件
属性
```
startOnLoad
```
已重命名为
```
startOnMount
```
，以便在React上下文中更具意义
属性
```
activeAction
```
已重命名为
```
onActive
```
属性
```
idleAction
```
已重命名为
```
onIdle
```

也许这会有所帮助：我尝试过，但仍然没有效果。您是否查看了手册回顾部分中列出的“更多信息”链接？看起来您需要手动将lodash更新到更高的版本。是的，我已经看过了。