- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
= 7 对对等依赖性更加严格。我已经为此发布了一个问题 here .但我仍然不完全理解"new"行为的好处。我希望得到更实际的解释。现在,我-6ren">
在某些方面我确实无法理解"new"npm 行为:
npm >= 7 对对等依赖性更加严格。我已经为此发布了一个问题 here .但我仍然不完全理解"new"行为的好处。我希望得到更实际的解释。现在,我的每个存储库在执行 npm install
时都会抛出这些错误,据我所知,我对这种行为无能为力,因为维护者应该更新那里的包。但在现实生活中,永远不会出现所有包都是最新的这一点。
我确实收到了多个漏洞报告,但是 npm audit fix
大多没有修复任何漏洞。这里同样的问题:它只能由维护者处理,所以我无能为力。那么我应该如何实际处理这些报告?
与弃用消息类似。例如 sockjs-node
使用 uuid 3.4.0 - 最新的是 8.3.2。但是维护者没有更新包,因为在 his view 中不需要更新包.所以同样的道理:维护者是唯一可以解决问题的人。
在所有这些情况下,我想知道如何处理这些事情。你在干嘛?在我的 CI 管道中,我确实收到了许多弃用消息,我必须使用 --legacy-peer-deps
,这实际上意味着我必须使用 npm 6,而且我还收到了许多漏洞报告。
所以永远不可能获得“干净”的安装,对吧?
报告/消息的值(value)是什么,如果它们总是存在,所以它们变得“正常”而我不得不忽略它们?
最佳答案
根据 npm announcement对于 v7:
Automatically installing peer dependencies is an exciting new feature introduced in npm 7. In previous versions of npm (4-6), peer dependencies conflicts presented a warning that versions were not compatible, but would still install dependencies without an error. npm 7 will block installations if an upstream dependency conflict is present that cannot be automatically resolved.
新的 npm 行为的好处是,如果存在不匹配的对等依赖版本,您必须有意选择强制安装,这是为了让开发人员注意潜在的依赖问题,而不是仅仅在日志中打印警告消息,这是容易被忽视。
一般来说,你不应该总是有对等依赖的错误。升级主要版本时,可能会出现这种情况(例如 Angular 应用程序),对等依赖项将不匹配(需要升级核心库,然后是插件等)。但是,如果您总是遇到对等依赖错误,则表明其中一个依赖在它需要的版本中不够严格,或者依赖已过时,或者依赖尚未更新以匹配其对等版本.
在这些情况下,您的选择应该是 (1) 降级列出的对等依赖项,直到更新使用它们的依赖项,(2) 升级依赖项以跟上列为对等项的版本,(3) 使用 npm 强制安装i --force
或 npm i --legacy-peer-deps
,或 (4) 为对等依赖过于严格或需要的开源项目打开一个问题或创建一个 PR进行更新以跟上同行的最新版本。
关于npm audit
的使用,您如何处理报告取决于您的需求。例如,如果您想自动确保您的应用程序中不包含任何严重漏洞,则可以使用各种标志(记录在此处)。例如,您可以使用 npm audit --audit-level=moderate
仅显示中等或更高风险的漏洞。您还可以运行 npm audit fix --force
以强制修复存在使用不兼容依赖项风险的漏洞。
一般来说,您确实依赖于维护者来消除那些讨厌的错误消息(除非您愿意冒着通过 --force
破坏很多东西的风险)。所以有时正确的做法是忽略错误信息并继续前进。或者,如果您需要对自己的安全状况更有信心,请每隔几个月安排一些时间来审查这些漏洞(或弃用),直到您满意为止。
当然,总有一个选项是最有效的,但始终是可能的:为开源做出贡献。如果依赖项需要更新,请提出进行 PR 和测试。如果维护者拒绝更新已弃用的库,则始终可以选择自己 fork 和更新它。如果 fork 库表现出保持其依赖链清洁的 promise ,可能会有很多人开始使用 fork 库。
关于node.js - 需要更好地理解 npm 行为 (>= 7),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69568419/
我正在使用npm v5.3.0。 现在,我想将npm更新到v5.4.1。要执行此操作,请在终端中键入以下内容: npm install -g npm 没有任何错误。但是,当我键入npm -v时,得到的
我已经使用 vue-cli 两个星期了,直到今天一切正常。我在本地建立这个项目。 https://drive.google.com/open?id=0BwGw1zyyKjW7S3RYWXRaX24tQ
有什么方法可以更改或重置全局 npm 注册表。 感谢您的帮助。 最佳答案 在终端中运行以下命令以恢复到默认注册表 npm config set registry https://registry.np
查看 npm 的 documentation , 'i' 是 'install' 的别名,是否有任何情况下最好使用完整的 'npm install'? 最佳答案 两者之间没有具体区别。这只是一个懒惰的
目前,每次将更改推送到 GIT 存储库时,我都会发布新版本的 NPM 包。我的大部分更改只是愚蠢的补丁。我使用 NPM 作为工具,在我的许多项目中启用版本控制和代码重用。经过一个月的工作,我已经完成了
我运行的时候总是报错 npm install 谁知道怎么解决 npm ERR! Darwin 13.0.0 npm ERR! argv "/usr/local/bin/node" "/usr/b
“npm uninstall packageName”删除包并更新 package.json 文件。 但是来自 npm 文档 - To remove a package from the depend
我的背景更熟悉 composer .我收到 gulp (等)进行构建过程和学习 node以及如何使用 npm我走的时候。 很奇怪(再次来自 composer 背景)composer.lock默认情况下
我看到的许多 npm 模块名称前面都添加了技术名称,例如 react-native 或 jquery 等。由于我们已经在 package.json 文件中提供了关键字,因此遵循此约定有什么好处。我问这
我检查了 connect-privkey-to-provider模块在依赖项中。但是,它一直在说 模块 'connect-privkey-to-provider' 是无关的 npm 和 找不到模块 '
我正在进行持续集成并发现了 npm ci命令。 我不知道在我的工作流程中使用此命令有什么优势。 速度更快吗?这会让测试变得更难吗?好吗? 最佳答案 来自the official documentati
我有一个要发布到 NPM 的包,其中还包含如下所示的演示目录: . +-- demo | +-- src | | +-- main.js | +-- package.json +--
如果我打开集成终端并运行 npm -v 它会起作用。 但是,如果我直接从 NPM SCRIPTS 运行它,它就不起作用。 评论中要求的更多详细信息 //由 Fogmeister 编辑 我也有这个问题,
我正在尝试安装 gulp,当我写 npm install 时我得到了这个问题: npm ERR! code 1 npm ERR! path D:\www\wegrow\node_modules\nod
这个问题已经有答案了: npm test --codecoverage doesn't generate report (3 个回答) 已关闭 4 年前。 当我执行npm test --code-co
我能够运行 npm start 和 npm run start 命令。我用过create-react-app创建我的应用程序。为了在 CSS 模块中进行配置更改,我想运行 npmject 但它会抛出错
我正在使用npm run script执行“构建”和“测试”等任务。 例如,我的 package.json 如下所示: { "name": "fulfillment-service", "ve
我第一次将 npm 模块添加到我的项目中(jshint、optimg、jpgo)。我注意到有些项目,当我做 npm 运行 [名称] ,给出“sh: [name]: command not found”
我已经在 Windows 上安装了 Ubuntu Bash。我已经有 nodejs和 npm在我的 Windows 机器上 C:\Program Files\nodejs .在 Windows 的 b
我正在尝试运行 npm install bitgo命令但在终端上出现以下错误, npm ERR! code EMFILE npm ERR! syscall spawn git npm ERR! pat
我是一名优秀的程序员,十分优秀!