TLDR: kullanarak üst paketi güncelleyin npm i $PARENT_PKG_NAME.
Not
Bağımlılıkları güncellerken, herhangi bir son değişiklik olup olmadığını görmek için CHANGELOG'u gözden geçirmelisiniz.
Teşhis
npm audithem savunmasız paketi (bunun için bir package-lock.json dosyasına ihtiyacınız olacağını, bu yüzden çalıştırmanız gerekeceğini unutmayın npm i) hem de bunun bağımlı olduğu paketi (varsa) ortaya çıkaracaktır . npm ls $CHILD_PKG_NAMEÜst bağımlılıklarını görmek için de kullanabileceğinizi unutmayın .
Hızlı Onarım Denemesi
npm audit fixve npm audit fix --forcedenemeye değer, ancak bazen düzeltmenin manuel olarak yapılması gerekebilir (aşağıya bakın).
Manuel Düzeltme
Büyük olasılıkla ana paket bağımlılıklarını zaten düzeltmiş olacaktır (bunu GitHub'larına gidip son kayıtları inceleyerek veya sadece bunun düzeltip düzeltmediğini kontrol ederek doğrulayabilirsiniz), böylece çalıştırabilirsiniz npm i $PARENT_PKG_NAME @$NEW_VERSIONve paket kilidinizi güncelleyecektir. .json.
Ebeveyn güvenlik açığını gidermediyse
Bakımcı yanıt vermiyor gibi görünüyorsa, aynı şeyi başaran alternatif bir paket kullanmayı veya paketi çatallayarak güvenlik açığını kendiniz güncellemeyi düşünebilirsiniz.
Düzeltmeyi Doğrula
Artık çalıştığını npm auditve hiçbir güvenlik açığının görünmediğinden emin olarak çalıştığını doğrulayabilirsiniz . Değişikliklerinizi işleyin, onları GitHub'a gönderin, bildirimlerinizi / uyarılarınızı yenileyin ve gitmeleri gerekir!