什么是；npm审计修复程序“；你到底是怎么做的？_Npm_Package.json_Npm Audit

什么是；npm审计修复程序“；你到底是怎么做的？

npm

什么是；npm审计修复程序“；你到底是怎么做的？,npm,package.json,npm-audit,Npm,Package.json,Npm Audit,npm审计修复旨在自动升级/修复npm包中的漏洞。然而，我还没有发现它到底做了什么来修复这些漏洞我假设npm audit fix会将依赖项和依赖项的依赖项升级到软件包的semver定义允许的最新版本–实际上与rm package-lock.json相同；npm安装。但是npm audit fix在删除锁定文件并重新安装后仍会执行许多更改 npm audit fix到底做了什么？例如，它是否安装了比相应的package.json所允许的版本更新的依赖项版本（但仍然兼容semver）？来自NPM：

npm审计修复

旨在自动升级/修复npm包中的漏洞。然而，我还没有发现它到底做了什么来修复这些漏洞

我假设

npm audit fix

会将依赖项和依赖项的依赖项升级到软件包的semver定义允许的最新版本–实际上与

rm package-lock.json相同；npm安装

。但是

npm audit fix

在删除锁定文件并重新安装后仍会执行许多更改

npm audit fix

到底做了什么？例如，它是否安装了比相应的

package.json所允许的版本更新的依赖项版本（但仍然兼容semver）？
来自NPM：
npm审计修复程序
在引擎盖下运行全面的npm安装

而且，默认情况下，审计修复程序只能进行与semvar兼容的升级。文件前面列出了：
让audit fix将semver主要更新安装到顶级依赖项，而不仅仅是semver兼容的依赖项：
$ npm audit fix --force

对于锁文件，每次运行更改package.json
的命令时都会重新生成它。答案和中都有关于这方面的更多信息。
大多数情况下，不要这样做。运行audit fix将更新部分软件包，但不会更新所有可能导致运行时错误的依赖项。由于npm audit fix
运行npm install
，我认为它将更新子依赖项（除非npm install也不更新）。虽然是Idk。我已经有一段时间没有跟上nodejs了。