我目前在更新NPM软件包tree-kill时遇到问题,这是@ angular-devkit / build-angular的依赖项。 tree-kill 1.2.1发布了一个安全公告https://nodesecurity.io/advisories/1432,该公告当前在我的CI管道中的构建失败,因为该管道包含“ npm audit --audit-level high”。
我需要将tree-kill更新为1.2.2以解决安全公告,但是我已经在使用最新版本的@ angular-devkit / build-angular,并且我的package-lock.json具有tree-kill 1.2.1。按照@ angular-devkit / build-angular的要求。
我尝试卸载并安装@ angular-devkit / build-angular,以查看是否会安装tree-kill 1.2.2补丁。我也尝试过此Npm update a dependency of a dependency in Node.js,这导致package.json依赖于tree-kill 1.2.2,而package-lock.json对于@ angular-devkit / build-angular仍然具有1.2.1。
如何更新package-lock.json,以便@ angular-devkit / build-angular要求使用tree-kill 1.2.2而不是1.2.1?
答案 0 :(得分:0)
https://github.com/angular/angular-cli/issues/16629#issuecomment-573837093是在Angular git存储库中发布的注释,概述了在软件包维护程序发布新版本之前更新依赖项的临时解决方法。 注意:这只是暂时的解决方法,如果发布了不需要tree-kill 1.2.2的较新版本的angular,它将还原