= 7 对对等依赖性更加严格。我已经为此发布了一个问题 here .但我仍然不完全理解"new"行为的好处。我希望得到更实际的解释。现在,我-6ren">
gpt4 book ai didi

node.js - 需要更好地理解 npm 行为 (>= 7)

转载 作者:行者123 更新时间:2023-12-04 17:10:27 26 4
gpt4 key购买 nike

在某些方面我确实无法理解"new"npm 行为:

  1. npm >= 7 对对等依赖性更加严格。我已经为此发布了一个问题 here .但我仍然不完全理解"new"行为的好处。我希望得到更实际的解释。现在,我的每个存储库在执行 npm install 时都会抛出这些错误,据我所知,我对这种行为无能为力,因为维护者应该更新那里的包。但在现实生活中,永远不会出现所有包都是最新的这一点。

  2. 我确实收到了多个漏洞报告,但是 npm audit fix 大多没有修复任何漏洞。这里同样的问题:它只能由维护者处理,所以我无能为力。那么我应该如何实际处理这些报告?

  3. 与弃用消息类似。例如 sockjs-node 使用 uuid 3.4.0 - 最新的是 8.3.2。但是维护者没有更新包,因为在 his view 中不需要更新包.所以同样的道理:维护者是唯一可以解决问题的人。

在所有这些情况下,我想知道如何处理这些事情。你在干嘛?在我的 CI 管道中,我确实收到了许多弃用消息,我必须使用 --legacy-peer-deps,这实际上意味着我必须使用 npm 6,而且我还收到了许多漏洞报告。

所以永远不可能获得“干净”的安装,对吧?

报告/消息的值(value)是什么,如果它们总是存在,所以它们变得“正常”而我不得不忽略它们?

最佳答案

根据 npm announcement对于 v7:

Automatically installing peer dependencies is an exciting new feature introduced in npm 7. In previous versions of npm (4-6), peer dependencies conflicts presented a warning that versions were not compatible, but would still install dependencies without an error. npm 7 will block installations if an upstream dependency conflict is present that cannot be automatically resolved.

新的 npm 行为的好处是,如果存在不匹配的对等依赖版本,您必须有意选择强制安装,这是为了让开发人员注意潜在的依赖问题,而不是仅仅在日志中打印警告消息,这是容易被忽视。

一般来说,你不应该总是有对等依赖的错误。升级主要版本时,可能会出现这种情况(例如 Angular 应用程序),对等依赖项将不匹配(需要升级核心库,然后是插件等)。但是,如果您总是遇到对等依赖错误,则表明其中一个依赖在它需要的版本中不够严格,或者依赖已过时,或者依赖尚未更新以匹配其对等版本.

在这些情况下,您的选择应该是 (1) 降级列出的对等依赖项,直到更新使用它们的依赖项,(2) 升级依赖项以跟上列为对等项的版本,(3) 使用 npm 强制安装i --forcenpm i --legacy-peer-deps,或 (4) 为对等依赖过于严格或需要的开源项目打开一个问题或创建一个 PR进行更新以跟上同行的最新版本。

关于npm audit的使用,您如何处理报告取决于您的需求。例如,如果您想自动确保您的应用程序中不包含任何严重漏洞,则可以使用各种标志(记录在此处)。例如,您可以使用 npm audit --audit-level=moderate 仅显示中等或更高风险的漏洞。您还可以运行 npm audit fix --force 以强制修复存在使用不兼容依赖项风险的漏洞。

一般来说,您确实依赖于维护者来消除那些讨厌的错误消息(除非您愿意冒着通过 --force 破坏很多东西的风险)。所以有时正确的做法是忽略错误信息并继续前进。或者,如果您需要对自己的安全状况更有信心,请每隔几个月安排一些时间来审查这些漏洞(或弃用),直到您满意为止。

当然,总有一个选项是最有效的,但始终是可能的:为开源做出贡献。如果依赖项需要更新,请提出进行 PR 和测试。如果维护者拒绝更新已弃用的库,则始终可以选择自己 fork 和更新它。如果 fork 库表现出保持其依赖链清洁的 promise ,可能会有很多人开始使用 fork 库。

关于node.js - 需要更好地理解 npm 行为 (>= 7),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69568419/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com