TLDR:を使用して親パッケージを更新しますnpm i $PARENT_PKG_NAME
。
注意
依存関係を更新するときは、重大な変更がないかCHANGELOGを確認する必要があります。
診断
npm audit
脆弱なパッケージ(これにはpackage-lock.jsonファイルが必要なので、実行する必要があることに注意してくださいnpm i
)と、依存関係にあるパッケージ(該当する場合)の両方が明らかになります。npm ls $CHILD_PKG_NAME
親の依存関係を確認するためにも使用できることに注意してください。
クイックフィックスの試み
npm audit fix
そしてnpm audit fix --force
Aは試してみる価値があるが、時には修正は(下記参照)を手動で実行する必要があります。
手動修正
ほとんどの場合、親パッケージはすでに依存関係を修正しているため(GitHubにアクセスして最近のコミットを確認するか、これで修正されるかどうかを確認することで確認できます)、実行するだけでnpm i $PARENT_PKG_NAME @$NEW_VERSION
パッケージロックが更新されます。 .json。
親が脆弱性を修正していない場合
メンテナが応答していないように思われる場合は、同じことを実現する代替パッケージを使用するか、パッケージをフォークして脆弱性を自分で更新することを検討してください。
修正を確認する
これで、実行npm audit
して脆弱性が表示されていないことを確認することで、機能したことを確認できます。変更をコミットし、GitHubにプッシュし、通知/アラートを更新すると、変更がなくなるはずです。