TLDR: оновіть батьківський пакет за допомогою npm i $PARENT_PKG_NAME
.
Примітка
Під час оновлення залежностей вам слід переглянути CHANGELOG на наявність будь-яких змін, що порушують.
Діагностика
npm audit
розкриє як вразливий пакет (зауважте, що для цього вам знадобиться файл package-lock.json, тому вам потрібно буде запустити npm i
), так і пакет, від якого він залежить (якщо це можливо). Зверніть увагу, що ви також можете використовувати його npm ls $CHILD_PKG_NAME
для перегляду батьківських залежностей.
Спроба швидкого виправлення
npm audit fix
і npm audit fix --force
варто спробувати, але іноді виправлення потрібно робити вручну (див. нижче).
Виправлення вручну
Швидше за все, батьківський пакет вже виправив свої залежності (ви можете перевірити це, перейшовши до їхнього GitHub і переглянувши нещодавні коміти - або просто подивившись, чи це виправляє), так що ви можете просто запустити, npm i $PARENT_PKG_NAME @$NEW_VERSION
і він оновить вашу блокування пакета .json.
Якщо батько не виправив уразливість
Якщо супровідник, здається, не реагує, ви можете розглянути можливість використання альтернативного пакету, який виконує те саме, або розгалуження пакету та оновлення вразливості самостійно.
Перевірте виправлення
Тепер ви можете переконатися, що він працював, запустивши npm audit
та переконавшись, що вразливості не відображаються. Фіксуйте свої зміни, надсилайте їх на GitHub, оновлюйте свої сповіщення / сповіщення, і вони повинні зникнути!