我的项目依赖于analytics-node依赖的axios: "^0.16.2"。
我们已被npm audit标记为axios带有漏洞,但已在0.18.1中修复。
但是,analytics-node没有依赖于0.18.1或更高版本的候选发布者(仅beta)。
我们尝试过:
npm audit fix,npm update axios --depth 2,npm install axios@0.18.1 我最困惑的部分是,为什么npm不允许我们覆盖analytics-node的{{1}}版本,因为该版本应该兼容。
答案 0 :(得分:0)
npm-force-resolutions正是出于这个确切原因专门修复了传递依赖项版本解析。
如果有一个受支持的方法可以使用package-lock.json更好。