現状を確認する

npm audit

解決策がある(提示されている)場合

=>それを実行する。

解決策がない場合

=>じぶんでなんとかするしかない。 具体的にどういうことになっているのか？

package.jsonに「A」というパッケージがあるとする 「A」 -> 「B」->「C」->「D」 B以下はpackage-lock.jsonに定義されている状態だ。

このとき、「D」に依存している「C」は「D」に虚弱性があった場合、 Dが最新版があったとしても「C」が最新版のDをpackage.jsonに定義した最新版をリリースしてくれないと 解決できません。。 はやくしてくれ〜状態です。

どうしたらいい？

① Cの最新版リリースを待つ ②手動でpackage-lock.jsonをいじる。

    "問題のモジュール": {
      "version": "2.00",//最新にする
      "resolved": "ここも最新にする",

みたいな感じ。 でもこれだと定義されているバージョン通りでなくなるのでスマートな方法ではないし、変更内容によってはバグがでるので ちゃんとソース依存元、依存先の変更を確認してやらないとだめ。 いわゆる力技。