“npm audit fix”到底是做什么的?

【问题标题】:What does "npm audit fix" exactly do?“npm audit fix”到底是做什么的?
【发布时间】:2020-08-08 12:27:45
【问题描述】:

npm audit fix 旨在自动升级/修复 npm 包中的漏洞。但是,我还没有找到修复这些漏洞的具体方法。

我假设npm audit fix 会将依赖项和依赖项的依赖项升级到包的 semver-definitions 允许的最新版本——实际上与rm package-lock.json; npm install 相同。但是npm audit fix在删除锁定文件+重新安装后仍然执行了很多更改。

npm audit fix 到底是做什么的?例如,它是否安装了比相应 package.json 允许的版本更新的依赖项(但仍然与 semver 兼容)?

【问题讨论】:

    标签: npm package.json npm-audit


    【解决方案1】:

    来自 NPM 的site on their audit command

    npm audit fix 在后台运行一个成熟的npm install

    而且审计修复似乎默认只进行与 semver 兼容的升级。文档前面列出的:

    让审计修复安装 semver-major 更新到顶级依赖项,而不仅仅是 semver 兼容的更新:

    $ npm audit fix --force

    至于锁定文件,每次运行更改package.json 的命令时都会重新生成。在答案hereofficial documentation 中有更多相关信息。

    【讨论】:

    • 大多数时候不要这样做。运行审计修复会更新一些包,但不会更新它们的所有依赖项,这会导致运行时错误。
    • 由于npm audit fix 运行npm install,我认为它会更新子依赖项(除非 npm install 也不会)。不知道。好久没跟上nodejs了。
    【解决方案2】:

    在我的理解中,不仅是“升级”,有时还包括降级以安装修复问题的稳定版本,有时这些问题出现在可能引入错误的较新版本中。

    例如,在我的例子中,npm install 将 react-script 升级到 5.0.0,这有一些问题并且在运行之后:

    npm audit fix --force

    force 标志的作用是:要解决所有问题(包括重大更改),请运行:npm audit fix --force

    它安装了 3.0.1 并带有以下消息:

    npm WARN audit Updating react-scripts to 3.0.1,which is a SemVer major change.

    所以它会升级到该软件包的稳定版本来解决问题。

    最重要的是,虽然文档声明“正在后台运行 npm install”,但不是安装最新版本的依赖项,但也可以用于检查 npm ci What is the difference between "npm install" and "npm ci"? 发生的情况

    【讨论】:

      猜你喜欢
      • 2020-02-10
      • 1970-01-01
      • 2021-04-27
      • 2020-07-05
      • 1970-01-01
      • 2021-07-02
      • 2023-01-04
      • 1970-01-01
      • 2019-04-05
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode