gpt4 book ai didi

npm - 强制 npm 更新依赖

转载 作者:行者123 更新时间:2023-12-03 21:21:44 26 4
gpt4 key购买 nike

在我的项目中,我使用“laravel-mix”,它依赖于“webpack-dev-server”

“npm 审计”报告了 high severity vulnerability在我的版本 webpack-dev-server 上,所以我一直在尝试将其更新到最新版本..但没有成功。

我试过了

npm update
npm update webpack-dev-server
npm update laravel-mix

没有成功.. 我想问题是 laravel-mix 已经是最新的,但它的依赖性不是..

我试图添加 webpack-dev-server 的更高版本作为依赖项,希望它能取代旧版本,但相反,我只是两个版本共存:
npm ls webpack-dev-server
+-- laravel-mix@2.1.14
| `-- webpack-dev-server@2.11.3
`-- webpack-dev-server@3.1.10

有没有办法强制更新 webpack-dev-server 依赖项?我需要为这个项目使用 laravel-mix,并且由于我的 Assets 是在生产服务器上编译的,我什至无法将其设置为仅开发依赖项..

最佳答案

不幸的是,如果您使用的包已经固定了自己的依赖项,则无法在项目的顶层修复它,尽管这是 npm 计划的 future 功能,允许别名覆盖子依赖项。

你可以看到一个 short guide here手动审查子依赖项并为项目创建 PR 以修复它们自己的依赖项。

将来,我是否还建议使用 npm audit fix如果它在您使用的版本上可用,因为这将尝试自动修复问题(如果可以)。

顺便说一句,我不会太担心这个易受攻击的软件包,尽管它的严重性很高,但只有在生产中使用 dev-server 时才会出现问题,正如它所说的 开发 在 jar 头上,您绝对不应该在开发人员本地以外的任何地方使用它。 :-)

关于npm - 强制 npm 更新依赖,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53262690/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com