1

我最近发现了该npm audit功能并运行命令来查找我正在处理的项目中的漏洞。遇到了一堆(超过100个)。

npm建议运行npm audit fix将修复所有漏洞,但具有重大更改的漏洞除外。我的代码中没有遇到任何此类漏洞,现在它显示 0 个漏洞。

我的问题是,当我将代码推送到 github 时,是否已经为克隆/分叉此 repo 的人修复了这些漏洞?

对于上下文,node_modules在我的文件中被忽略.gitignore(这意味着它们不会与代码一起推送到 github)。既然node_modules这些“漏洞修复程序”被应用在哪里,它们是否会持续存在于随后分叉/克隆此 repo 的每个人中?

如果是这样,怎么做?有关系package-lock.json吗?

如果没有,有没有办法使这些更改持久化?

4

2 回答 2

0

是的,它与package-lock.json,在此处阅读有关包锁的更多信息 根据当前的站点,包锁代表您的 node_modules 文件夹的可复制树。

于 2018-06-27T18:38:21.643 回答
0

是的,by 所做的更改npm audit fix是持久的,但前提是您将package-lock.json文件提交到您的 git 存储库。

根据 NPM的说法,“该文件旨在提交到源存储库中。”

如果您将现有package-lock.json文件提交到存储库然后运行npm audit fix,您将看到本地package-lock.json文件的更改(假设npm audit能够修复任何易受攻击的软件包)。您可以查看这些更改,然后再次提交package-lock.json文件以保留更改。

于 2020-04-15T16:08:15.550 回答