npm - "npm audit fix"究竟是做什么的？

Question

npm audit fix旨在自动升级/修复 npm 包中的漏洞。但是，我还没有发现它究竟做了什么来修复这些漏洞。

我假设 npm audit fix会将依赖项和依赖项的依赖项升级到包的 semver 定义允许的最新版本——实际上与 rm package-lock.json; npm install 相同。 .然而npm audit fix锁定文件删除+重新安装后仍然执行很多更改。

究竟是做什么的npm audit fix做？例如，它是否安装了比相应 package.json 允许的版本更新的依赖项版本？ (但仍然与 semver 兼容)？

Answer 1

来自 NPM 的 site on their audit command :

npm audit fix runs a full-fledged npm install under the hood

默认情况下，审计修复似乎只进行与 semvar 兼容的升级。在文档前面列出:

Have audit fix install semver-major updates to toplevel dependencies, not just semver-compatible ones:

$ npm audit fix --force

至于锁文件，每次运行改变的命令都会重新生成 package.json .在回答 here 中有更多相关信息以及在 official documentation .