npm版本6.0.1 运行npm审计 在许多项目中,我们都存在一些漏洞。
报告建议的第一件事是:
# Run npm update fsevents --depth 4 to resolve 65 vulnerabilities
我这样做了几次,减少了问题的数量,但这次不起作用。 知道为什么吗?
答案 0 :(得分:0)
您已经安装了fsevents,锁定文件具有过时的值。如果您在锁定文件中手动更改它们,您的npm审核看起来会很干净,问题是当您再次运行npm install时无关紧要,他们会再次安装它。确保检查你的node_modules,所使用的库的版本实际上是没有任何漏洞的库
答案 1 :(得分:0)
这是一个问题npm audit / update有一些像fsevents这样的可选包。如果你清除package.lock或yarn.lock中的所有这些包,或者如果你不关心锁,只需删除文件并再次运行npm install或yarn install以获得更新的内包