TLDR: mettez à jour le package parent à l'aide de npm i $PARENT_PKG_NAME
.
Remarque
Lors de la mise à jour des dépendances, vous devez consulter le CHANGELOG pour tout changement de rupture.
Diagnostic
npm audit
révélera à la fois le package vulnérable (notez que vous aurez besoin d'un fichier package-lock.json pour cela, vous devrez donc l'exécuter npm i
), ainsi que le package dont il est une dépendance (le cas échéant). Notez que vous pouvez également utiliser npm ls $CHILD_PKG_NAME
pour voir ses dépendances parentes.
Tentative de correction rapide
npm audit fix
et npm audit fix --force
valent la peine d'essayer, mais parfois le correctif devra être fait manuellement (voir ci-dessous).
Correction manuelle
Très probablement, le package parent aura déjà corrigé ses dépendances (vous pouvez le vérifier en accédant à son GitHub et en examinant les récents commits - ou simplement en voyant si cela le corrige), vous pouvez donc simplement exécuter npm i $PARENT_PKG_NAME @$NEW_VERSION
et il mettra à jour votre package-lock .json.
Si le parent n'a pas corrigé la vulnérabilité
Si le responsable ne semble pas réactif, vous pouvez envisager d'utiliser un autre package qui accomplit la même chose ou de forger le package et de mettre à jour la vulnérabilité vous-même.
Vérifier le correctif
Vous pouvez maintenant vérifier que cela a fonctionné en exécutant npm audit
et en vous assurant qu'aucune vulnérabilité n'apparaît. Validez vos modifications, transférez-les sur GitHub, actualisez vos notifications / alertes et elles devraient disparaître!