在推送到GitHub时,我收到以下消息:
GitHub在用户名/项目名称的默认分支(1个中等)上发现了1个漏洞。
我检查了Github上的项目,发现需要将Sequelize更新到5.3.0。在本地,我运行了npm update,并且更新了我的另一个软件包,但是Sequelize没有更新。
我犯了错,然后再次推送到Github,并收到了相同的漏洞警告。我检查了package.json,它显示了以下依赖项:
"sequelize": "^4.43.1"
更新Sequelize是否需要做其他事情?还是至少要解决此警告?
答案 0 :(得分:2)
npm update在package.json中尊重caret dependency restrictions。您需要版本"^4.43.1",meaning the latest version available without updating the leftmost nonzero digit。 4.x.y的最新sequelize版本是4.43.1。
在package.json中更新其主要版本,例如到^5.3.0,因为这就是您所需要的,然后再次运行npm update。这应该为您提供具有主要版本5(在撰写本文时为5.3.5)的最新版本。它还会同时更新您的package.json和package-lock.json。