TLDR: kullanarak üst paketi güncelleyin npm i $PARENT_PKG_NAME
.
Not
Bağımlılıkları güncellerken, herhangi bir son değişiklik olup olmadığını görmek için CHANGELOG'u gözden geçirmelisiniz.
Teşhis
npm audit
hem savunmasız paketi (bunun için bir package-lock.json dosyasına ihtiyacınız olacağını, bu yüzden çalıştırmanız gerekeceğini unutmayın npm i
) hem de bunun bağımlı olduğu paketi (varsa) ortaya çıkaracaktır . npm ls $CHILD_PKG_NAME
Üst bağımlılıklarını görmek için de kullanabileceğinizi unutmayın .
Hızlı Onarım Denemesi
npm audit fix
ve npm audit fix --force
denemeye değer, ancak bazen düzeltmenin manuel olarak yapılması gerekebilir (aşağıya bakın).
Manuel Düzeltme
Büyük olasılıkla ana paket bağımlılıklarını zaten düzeltmiş olacaktır (bunu GitHub'larına gidip son kayıtları inceleyerek veya sadece bunun düzeltip düzeltmediğini kontrol ederek doğrulayabilirsiniz), böylece çalıştırabilirsiniz npm i $PARENT_PKG_NAME @$NEW_VERSION
ve paket kilidinizi güncelleyecektir. .json.
Ebeveyn güvenlik açığını gidermediyse
Bakımcı yanıt vermiyor gibi görünüyorsa, aynı şeyi başaran alternatif bir paket kullanmayı veya paketi çatallayarak güvenlik açığını kendiniz güncellemeyi düşünebilirsiniz.
Düzeltmeyi Doğrula
Artık çalıştığını npm audit
ve hiçbir güvenlik açığının görünmediğinden emin olarak çalıştığını doğrulayabilirsiniz . Değişikliklerinizi işleyin, onları GitHub'a gönderin, bildirimlerinizi / uyarılarınızı yenileyin ve gitmeleri gerekir!