TL; DR: обновите родительский пакет, используя npm i $PARENT_PKG_NAME
.
Заметка
При обновлении зависимостей вы должны просмотреть CHANGELOG на предмет критических изменений.
Диагностика
npm audit
откроет как уязвимый пакет (обратите внимание, что для этого вам понадобится файл package-lock.json, поэтому вам нужно будет запустить npm i
), так и пакет, от которого он зависит (если применимо). Обратите внимание, что вы также можете использовать, npm ls $CHILD_PKG_NAME
чтобы увидеть его родительские зависимости.
Попытка быстрого исправления
npm audit fix
и npm audit fix --force
стоит попробовать, но иногда это нужно делать вручную (см. ниже).
Ручное исправление
Скорее всего, родительский пакет уже исправил свои зависимости (вы можете проверить это, перейдя на их GitHub и просмотрев последние коммиты - или просто посмотрев, исправляет ли это это), поэтому вы можете просто запустить, npm i $PARENT_PKG_NAME @$NEW_VERSION
и он обновит вашу блокировку пакета .json.
Если родитель не исправил уязвимость
Если специалист по сопровождению не реагирует на запросы, вы можете рассмотреть возможность использования альтернативного пакета, который выполняет то же самое, или разветвления пакета и самостоятельного обновления уязвимости.
Проверить исправление
Теперь вы можете убедиться, что он работает, запустив его npm audit
и убедившись, что уязвимостей нет. Зафиксируйте свои изменения, отправьте их на GitHub, обновите свои уведомления / предупреждения, и они должны исчезнуть!