在docker漏洞检查过程中,我们发现程序包minimatch具有漏洞。因此,我们必须使用最新版本为3.0.4的minimatch软件包。
我已在提琴手https://jsfiddle.net/Loecjuy4/1/
的 js部分中复制了package-lock.jsonroute/resources如果在我提供的fiddler链接上搜索package-lock.json,您会发现minimatch是很多地方的依赖项,有时会使用版本3.0.4(在eslint中为2022行),而在其他地方则是版本2.0.10。使用(第3170行)。
我想知道一种方法,使得包minimatch在package-lock.json的所有位置都具有相同的版本3.0.4。我尝试过收缩包装,但它也显示了minimatch的不同版本。
答案 0 :(得分:0)
将所有依赖项更新为最新版本。如果旧版本仍在您的package-lock.json中,则意味着您使用的依赖项本身也具有旧版本的依赖项。然后,您可能应该与这些软件包的维护者联系,以升级其依赖性(即,通过在其各自的存储库中打开问题)。