目前
我immer在 2 个位置有依赖项。
+-- aws-amplify@4.3.1
| `-- @aws-amplify/datastore@3.4.7
| `-- immer@9.0.6
`-- react-scripts@4.0.3
`-- react-dev-utils@11.0.4
`-- immer@8.0.1
问题
旧版本immer有一个严重的漏洞。我需要更新依赖项。
问题
更新旧 immer 依赖项的 CLI 命令是什么?
笔记
npm update immer,npm --depth 5 update immer但都没有解决这个问题。仅将这部分视为学术答案。不要在现实生活项目中使用。
严格回答你的问题:
更新旧 immer 依赖项的 CLI 命令是什么?
您可以使用 npm shrinkwrap 手动管理嵌套依赖项:
npm shrinkwrap
这将重命名package-lock.json为npm-shrinkwrap.json. 它们是相同的,除了npm-shrinkwrap.json可以手动编辑以设置依赖版本。在这种情况下,"immer": "8.0.1"在收缩包装文件中找到并将其更新为您想要的版本:
"node_modules/react-dev-utils": {
"version": "11.0.4",
"resolved": "https://registry.npmjs.org/react-dev-utils/-/react-dev-utils-11.0.4.tgz",
"integrity": "sha512-...",
"dependencies": {
...
"immer": "8.0.1", <== Change this to "9.0.6"
然后删除此块以允许 npm 使用更新的版本:
"node_modules/react-dev-utils/node_modules/immer": {
"version": "8.0.1",
"resolved": "https://registry.npmjs.org/immer/-/immer-8.0.1.tgz",
"integrity": "sha512-...",
"funding": {
"type": "opencollective",
"url": "https://opencollective.com/immer"
}
},
之后您可以运行npm i然后检查您的依赖项:
$ npm i
$ npm list immer
playground@1.0.0 /private/tmp/playground
├─┬ aws-amplify@4.3.2
│ └─┬ @aws-amplify/datastore@3.4.8
│ └── immer@9.0.6
└─┬ react-scripts@4.0.3
└─┬ react-dev-utils@11.0.4
└── immer@9.0.6 deduped
请记住,手动升级嵌套依赖项可能会导致不良影响。在这种情况下,to 使用的升级可能immer会破坏部分功能,因为它是. 主要版本可以包括向后不兼容的更改。react-dev-utils9.0.6react-dev-utilsimmer@9.0.98.0.1
由于根本不影响您的漏洞,您最终可能会破坏部分工具;并检查immerin的确切用法react-dev-utils并确保用法与 with 兼容9.0.6可能会非常耗时。
这是在不回答您的问题的情况下解决问题的尝试
为了解决这个问题:
旧版本的 immer 存在严重漏洞。
并非所有漏洞都会影响您的最终用户。此特定漏洞已在 create-react-app 上报告,并被归类为“仅开发”问题,不会影响用户,因为它不会出现在浏览器上运行的代码中。
有关这方面的更多信息,请参阅 create-react-app 上的另一个问题。
我解决漏洞的常用步骤:
npm audit提供详细信息。请记住,开发工具中的漏洞不一定是用户的问题。在这种情况下,维护人员create-react-app已经看到并建议这是在构建工具的上下文中的误报。
我认为你可以使用npm i. 如果这不起作用,您可以删除节点模块文件夹并输入npm i