TLDR: Perbarui paket induk menggunakan npm i $PARENT_PKG_NAME
.
Catatan
Saat memperbarui dependensi, Anda harus meninjau CHANGELOG untuk setiap perubahan yang mengganggu.
Diagnosa
npm audit
akan mengungkapkan paket yang rentan (perhatikan bahwa Anda memerlukan file package-lock.json untuk ini, jadi Anda harus menjalankannya npm i
), serta paket yang menjadi dependensinya (jika ada). Perhatikan bahwa Anda juga dapat menggunakan npm ls $CHILD_PKG_NAME
untuk melihat dependensi induknya.
Percobaan Perbaikan Cepat
npm audit fix
dan npm audit fix --force
patut dicoba, tetapi terkadang perbaikan perlu dilakukan secara manual (lihat di bawah).
Perbaikan Manual
Kemungkinan besar paket induk telah memperbaiki dependensinya (Anda dapat memverifikasi ini dengan membuka GitHub mereka dan meninjau komit terbaru - atau hanya melihat apakah ini memperbaikinya), jadi Anda dapat menjalankannya npm i $PARENT_PKG_NAME @$NEW_VERSION
dan itu akan memperbarui kunci paket Anda .json.
Jika orang tua belum memperbaiki kerentanannya
Jika pengelola tampaknya tidak responsif, Anda dapat mempertimbangkan untuk menggunakan paket alternatif yang menyelesaikan hal yang sama atau membagi paket dan memperbarui kerentanannya sendiri.
Verifikasi Perbaikan
Anda sekarang dapat memverifikasi bahwa itu berfungsi dengan menjalankan npm audit
dan memastikan bahwa tidak ada kerentanan yang muncul. Komit perubahan Anda, dorong ke GitHub, segarkan pemberitahuan / peringatan Anda dan itu akan hilang!