Npm 严重程度低的脆弱性&引用；正则表达式拒绝服务“；大括号包装_Npm_Version_Package.json

Npm 严重程度低的脆弱性&引用；正则表达式拒绝服务“；大括号包装

npm

Npm 严重程度低的脆弱性&引用；正则表达式拒绝服务“；大括号包装,npm,version,package.json,Npm,Version,Package.json,我克隆存储库： $ git clone https://github.com/electron/electron-api-demos $ cd electron-api-demos 当我使用npm install安装软件包时，npm会警告我5个漏洞，并建议我使用npm audit fix修复它们我运行fix命令并见证其中4个已修复，但有一个需要手动检查：因此，问题在于包装：我检查了，我可以看到他们正在使用“anymatch”：“^1.3.0”，如果我运行： $ npm show anym

我克隆存储库：

$ git clone https://github.com/electron/electron-api-demos
$ cd electron-api-demos

当我使用

npm install

安装软件包时，

npm

会警告我5个漏洞，并建议我使用

npm audit fix

修复它们

我运行fix命令并见证其中4个已修复，但有一个需要手动检查：

因此，问题在于包装：

我检查了，我可以看到他们正在使用

“anymatch”：“^1.3.0”

，如果我运行：

$ npm show anymatch version
3.0.1

我可以看出他们没有使用更新版本的

这是两年前的事了！因此，我认为提交一个问题不会很快解决这个问题

我的问题：如何在不使用“”的情况下更新此程序包

$ npm list braces
electron-api-demos@2.0.2 D:\Code\electron-api-demos
`-- check-for-leaks@1.2.0
  `-- anymatch@1.3.2
    `-- micromatch@2.3.11 
      `-- braces@1.8.5   <-----------

$ npm show braces version
3.0.2

$ npm show check-for-leaks version
1.2.0

$ npm show anymatch version
3.0.1