- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
目前
我在 2 个位置有 immer
作为依赖项。
+-- aws-amplify@4.3.1
| `-- @aws-amplify/datastore@3.4.7
| `-- immer@9.0.6
`-- react-scripts@4.0.3
`-- react-dev-utils@11.0.4
`-- immer@8.0.1
问题
immer
的旧版本存在严重漏洞。我需要更新依赖项。
问题
更新旧的 immer 依赖项的 CLI 命令是什么?
注意事项
npm update immer
和 npm --depth 5 update immer
都没有解决问题。最佳答案
仅将这部分视为学术答案。不要在现实生活中的项目中使用。
严格回答你的问题:
What is the CLI command to update the older immer dependency?
您可以使用 npm shrinkwrap 手动管理嵌套依赖项:
npm shrinkwrap
这会将 package-lock.json
重命名为 npm-shrinkwrap.json
。它们是相同的,除了可以手动编辑 npm-shrinkwrap.json
来设置依赖版本。在这种情况下,在 shrinkwrap 文件中找到 "immer": "8.0.1"
并将其更新为您想要的版本:
"node_modules/react-dev-utils": {
"version": "11.0.4",
"resolved": "https://registry.npmjs.org/react-dev-utils/-/react-dev-utils-11.0.4.tgz",
"integrity": "sha512-...",
"dependencies": {
...
"immer": "8.0.1", <== Change this to "9.0.6"
然后删除此 block 以允许 npm 使用更新的版本:
"node_modules/react-dev-utils/node_modules/immer": {
"version": "8.0.1",
"resolved": "https://registry.npmjs.org/immer/-/immer-8.0.1.tgz",
"integrity": "sha512-...",
"funding": {
"type": "opencollective",
"url": "https://opencollective.com/immer"
}
},
之后您可以运行 npm i
然后检查您的依赖项:
$ npm i
$ npm list immer
playground@1.0.0 /private/tmp/playground
├─┬ aws-amplify@4.3.2
│ └─┬ @aws-amplify/datastore@3.4.8
│ └── immer@9.0.6
└─┬ react-scripts@4.0.3
└─┬ react-dev-utils@11.0.4
└── immer@9.0.6 deduped
请记住,手动升级嵌套依赖项可能会产生不良影响。在这种情况下,将 react-dev-utils
使用的 immer
升级到 9.0.6
可能会破坏部分 react-dev- utils
功能,因为 immer@9.0.9
是 8.0.1
之前的主要版本。主要版本可以包含向后不兼容的更改。
您可能会因为根本不会影响您的漏洞而破坏您的部分工具;并检查 react-dev-utils
中 immer
的确切用法并确保该用法与 9.0.6
兼容可能需要很长时间消费。
这是在不回答您的问题的情况下解决问题的尝试
解决问题:
The older version of immer has a critical vulnerability.
并非所有漏洞都会影响您的最终用户。这个特殊的漏洞是 reported on create-react-app并被归类为“仅限开发”问题,不会影响用户,因为它不会出现在浏览器上运行的代码中。
有关这方面的更多信息,请访问 another issue on create-react-app .
我解决漏洞的常用步骤:
npm audit
提供了详细信息。请记住,开发工具中的漏洞不一定是用户的问题。在这种情况下,create-react-app
的维护者已经看到并建议这是构建工具上下文中的误报。
关于node.js - 什么 NPM CLI 命令可用于更新依赖项的依赖项?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69490137/
我在 gobject 上阅读了一个维基百科页面,上面写着, Depending only on GLib and libc, GObject is a cornerstone of GNOME and
如何注册一个依赖属性,其值是使用另一个依赖属性的值计算的? 由于 .NET 属性包装器在运行时被 WPF 绕过,因此不应在 getter 和 setter 中包含逻辑。解决方案通常是使用 Proper
我一直在尝试将 ActionbarSherlock maven 依赖项添加到我的项目中 com.actionbarsherlock library 4.2.0 在我的 po
http://tutorials.jenkov.com/ood/understanding-dependencies.html#whatis说(强调我的): Whenever a class A us
我对所有这些魔法有点不清楚。 据我了解,依赖属性是从 DependencyObject 继承的,因此存储值: 如果分配了值(在本地字典中),则在实例本身中 或者如果未指定值,则从指向父元素的链接中获取
我刚刚更新了在 ASP.NET Framework 4.5.2 版上运行的 MVC Web 应用程序。我正在使用 Twilio 发送 SMS 消息: var twilio = new TwilioRe
我刚刚发现了一件令人生畏的事情。 spring 依赖坐标有两个版本。 项目依赖于 spring mvc 和 spring flow。有两组并行的依赖项。 Spring MVC 具有以下方案的依赖项
我正在尝试包含 的 maven 依赖项 org.jacorb jacorb 2.3.1 依赖已解决,但它导致另一个依赖 picocontainer 出现问题: [ERROR
我正在尝试在 Haskell 项目中包含特定版本的库。该库是住宿加早餐型的(用于 martix 操作),但我需要特定的 0.4.3 版本,该版本修复了乘法实现的错误。 所以,我的 stack.yaml
有谁知道如何制作依赖的 UIPickerView.例如,当我选择组件一的第 2 行时,组件二的标题会发生变化吗? 我在互联网上查找过,没有真正的答案,我尝试过使用 if 和 switch 语句,但它们
我正在编写一个用于验收测试的项目,由于各种原因,这依赖于另一个打包为 WAR 的项目。我已成功使用 maven-dependency-plugin 解压 WAR,但无法让我的项目包含解压的 WEB-I
或多或少我在 session 上大量构建我的网站(特别是重定向用户等),我很好奇这是否是一种危险的做法。禁用浏览器 cookie 保存的用户的大致比例是多少?我愿意接受任何建议:) 谢谢 最佳答案 s
开始玩 Scala futures,我被依赖的 futures 困住了。 让我们举个例子。我搜索地点并获得 Future[Seq[Place]]。对于这些地点中的每一个,我搜索最近的地铁站(该服务返回
或多或少我在 session 上大量构建我的网站(特别是重定向用户等),我很好奇这是否是一种危险的做法。禁用浏览器 cookie 保存的用户的大致比例是多少?我愿意接受任何建议:) 谢谢 最佳答案 s
我有一个二进制文件,需要一些 *.so 文件才能执行。现在,当我尝试在一些旧机器上执行它时,它会显示 /lib/libc.so.6: version `GLIBC_2.4' not found 如何将
我尝试使用 Dygraph 来表示图表,我在 https://github.com/danvk/dygraphs 中找到了代码,但是它有太多的依赖文件,我觉得很烦人。是否有一个文件可以容纳所有必需的
我正在处理一个 javascript 文件,该文件 a) 声明一个具有函数的对象,并且 b) 使用它期望在外部声明的散列调用该对象的 init 函数。我的 Jasmine 规范提示它找不到哈希,因为它
最近我一直在学习 Angular 并且进展顺利,但是关于依赖注入(inject)的一些事情我仍然不清楚。 是否有任何理由在我的 app.js 文件中声明我的应用程序的其他部分(服务、 Controll
考虑一个名为 foo 的表,它有 id (PRIMARY & AUTO_INCREMENT) 列。我正在向该表中插入一行,挑战从此时开始。 $db->query("INSERT INTO `foo`
我正在使用级联下拉 jquery 插件。 (https://github.com/dnasir/jquery-cascading-dropdown) 我有两个下拉菜单。 “客户端”和“站点”。 根据您
我是一名优秀的程序员,十分优秀!