Question

与标题相同，但：

如果可能，我不想在package-lock.json中手动重写版本字符串，
我尝试了以下操作：How do I update each dependency in package.json to the latest version?，但是当然，正如预期的那样，它仅更新了package.json文件，
我查看了以下文档：package-lock.json docs和package-locks explanation docs，
如this question所述，npm v5.1.0中的npm安装行为已更改，如果我是正确的话，这意味着如果我的npm版本高于5.1.0，则我的应用程序（默认情况下））始终从tha package.json而不是package-lock.json安装npm。但是，我的package-lock.json中仍然列出了一个存在漏洞的依赖项，我的github对此发出了警告。

如何最好地解决这个问题？如果仍然要从package.json安装，删除一个package-lock.json是一个好习惯吗？我应该更新它吗？如果我想改用锁怎么办？

我以前从未做过这样的事情，所以我什至不确定如果我只重写json中的版本字符串，它是否可以工作或破坏npm安装。

是否有安全/专业的方法可以更改为package-lock.json并通过npm对其进行更新？

Answer 1

如果要在package-lock.json中更新版本，可以使用

更新软件包

npm update <package_name>

在您的软件包中详细了解'^'和'〜'。json>> Reference

由于包锁为每个模块及其每个依赖项指定了版本，位置和完整性哈希，因此它为共享项目中的每个用户每次都创建相同的安装。

希望这会帮助您清除想法。