現状を確認する
npm audit
解決策がある(提示されている)場合
=>それを実行する。
解決策がない場合
=>じぶんでなんとかするしかない。
具体的にどういうことになっているのか?
package.jsonに「A」というパッケージがあるとする
「A」 -> 「B」->「C」->「D」
B以下はpackage-lock.jsonに定義されている状態だ。
このとき、「D」に依存している「C」は「D」に虚弱性があった場合、
Dが最新版があったとしても「C」が最新版のDをpackage.jsonに定義した最新版をリリースしてくれないと
解決できません。。
はやくしてくれ〜状態です。
どうしたらいい?
① Cの最新版リリースを待つ
②手動でpackage-lock.jsonをいじる。
"問題のモジュール": {
"version": "2.00",//最新にする
"resolved": "ここも最新にする",
みたいな感じ。
でもこれだと定義されているバージョン通りでなくなるのでスマートな方法ではないし、変更内容によってはバグがでるので
ちゃんとソース依存元、依存先の変更を確認してやらないとだめ。
いわゆる力技。
最近のコメント