我最近发现了npm audit功能,并运行命令查找我正在处理的项目中的漏洞。遇到了很多人(超过100人)。
npm建议运行npm audit fix将解决所有漏洞,除了那些有重大变化的漏洞。我的代码中没有遇到任何此类漏洞,现在它显示0个漏洞。
我的问题是,当我将代码推送到github时,这些漏洞是否已经为那些克隆/分配这个回购的人修复了?
对于上下文,node_modules文件中忽略.gitignore(这意味着它们不会与代码一起推送到github)。由于node_modules是应用这些“漏洞修复程序”的地方,它们是否会持续存在于然后分发/克隆此回购的每个人?
如果是这样,怎么样?它与package-lock.json有关吗?
如果没有,有没有办法让这些变化持续存在?
答案 0 :(得分:0)
是,它与package-lock.json,read more about package-locks here有关
根据目前的站点,程序包锁表示您的node_modules文件夹的可复制树。
答案 1 :(得分:0)
是的,npm audit fix所做的更改是持久的,但是仅当您将package-lock.json文件提交到git存储库时才可以。
According to NPM,“此文件旨在提交到源存储库中。”
如果您将现有的package-lock.json文件提交到存储库中,然后运行npm audit fix,您将看到对本地package-lock.json文件的更改(假设npm audit可以修复任何易受攻击的软件包)。您可以查看这些更改,然后再次提交package-lock.json文件以保留更改。