npm audit fix用于自动升级/修复npm软件包中的漏洞。但是,我还没有找到解决这些漏洞的确切方法。
我假设npm audit fix将依赖关系和依赖关系的依赖关系升级到软件包的semver-definitions所允许的最新版本-实际上与rm package-lock.json; npm install相同。但是,npm audit fix在锁定文件删除+重新安装后仍会进行很多更改。
npm audit fix到底是做什么的?例如,它是否安装的依赖项版本比相应的package.json允许的依赖项版本新(但仍与semver兼容)?
答案 0 :(得分:7)
来自NPM的site on their audit command:
npm audit fix在后台运行完整的npm install
而且,默认情况下,审核修补程序似乎仅执行与semvar兼容的升级。在文档的前面列出了
具有审核修复程序可以对顶级依赖项安装semver-major更新,而不仅仅是与semver兼容的更新:
$ npm audit fix --force
对于锁定文件,每次您运行更改package.json的命令时,都会重新生成该文件。在答案here和official documentation中都有关于此内容的更多信息。