Как npm обновить версии зависимостей в package-lock.json?

Question

Как в заголовке, но:

• Если это возможно, я не хочу вручную переписывать строку версии в package-lock.json,
• Я попробовал следующее: Как обновить каждую зависимость в package.json до последней версии? , но, как и ожидалось, он только обновил файл package.json,
• Я посмотрел документы: package-lock.json docs и package-lock объяснения документов ,
• как написано в этом вопросе , поведение установки npm было изменено в npm v5.1.0, что, если я прав, означает, что если у меня версия npm выше, чем 5.1.0, мое приложение будет (по умолчанию) всегда npm устанавливается из пакета package.json, а не package-lock.json. Однако в моем package-lock.json по-прежнему есть зависимость, в которой есть уязвимость, и мой github выкрикивает предупреждение об этом.

Как лучше всего это решить? В любом случае, если я устанавливаю из package.json, будет ли хорошей практикой просто удалить package-lock.json? Должен ли я держать его в курсе? Что делать, если я хочу вместо этого использовать блокировку?

Я никогда не делал ничего подобного раньше, поэтому я даже не уверен, что если я просто переписываю строку версии в json, это сработает или прервет установку npm.

Есть ли безопасный / профессиональный способ перейти на package-lock.json и обновлять его через npm?

Answer 1

Если вы хотите обновить версию в package-lock.json, вы можете сделать это, обновив пакет с помощью

npm update <package_name>

• '^' >> "Примерно эквивалентно версии"
• '~' >> "Совместимо с версией"

Узнайте больше о '^' и '~' в вашем package.json >> Ссылка

Поскольку пакет-блокировка указывает версию, местоположение и хэш целостности для каждого модуля и каждой из его зависимостей, создаваемая им установка будет одинаковой, каждый раз для каждого пользователя в общем проекте.

Все, что вы хотели знать о package-lock.json

Надеюсь, это поможет вам прояснить ваши мысли.