7

最近发现npm-audit并在第一次运行时标记了很多漏洞,主要是围绕包及其依赖项。

想要解决这些漏洞,我发现npm shrinkwrap它允许我指定应该使用哪些版本及其依赖项?反正我就是这么看的(如果有错请纠正我,在这里学习)。

我试图修复的一个例子是模块hoek,在我的package.json这个设置为"hoek": "^5.0.3"

当我运行npm shrinkwrap其中一个依赖项已hoek设置为版本 2

"boom": {
  "version": "2.10.1",
  "resolved": "https://registry.npmjs.org/boom/-/boom-2.10.1.tgz",
  "integrity": "sha1-OciRjO/1eZ+D+UkqhI9iWt0Mdm8=",
  "requires": {
    "hoek": "2.x.x"
  },
  "dependencies": {
    "hoek": {
      "version": "2.16.3",
      "resolved": "https://registry.npmjs.org/hoek/-/hoek-2.16.3.tgz",
      "integrity": "sha1-ILt0A9POo5jpHcRxCo/xuCdKJe0="
    }
  }
},

我想我可以编辑它并指定我希望依赖项使用的版本,就像这样

  "boom": {
  "version": "2.10.1",
  "resolved": "https://registry.npmjs.org/boom/-/boom-2.10.1.tgz",
  "integrity": "sha1-OciRjO/1eZ+D+UkqhI9iWt0Mdm8=",
  "dev": true,
  "requires": {
    "hoek": "2.x.x"
  },
  "dependencies": {
    "hoek": {
      "version": "5.0.3",
      "resolved": "https://registry.npmjs.org/hoek/-/hoek-5.0.3.tgz",
      "integrity": "sha1-ILt0A9POo5jpHcRxCo/xuCdKJe0=",
      "dev": true
    }
  }
},

但是,当我运行npm shrinkwrapnpm install所有这些都恢复为原始状态时

我该如何管理这个?收缩包装是正确的选择,还是我想用它做一些我根本做不到的事情?

谢谢

4

1 回答 1

9

NPM shrinkwrap用于锁定项目中的依赖版本。

在使用npm installnpm install package-name 安装包并更新你的 node_modules 文件夹后,你应该运行 npm shrinkwrap

它将创建新的 npm-shrinkwrap.json文件,其中包含有关您使用的所有包的信息,并且您必须提交该文件。

下次,当有人调用npm install时,它会从npm-shrinkwrap.json安装包,你将在所有机器上拥有相同的环境。

于 2018-06-07T14:37:08.193 回答