npm зависимости не обновляются автоматически до более старшей версии. Поэтому, если пакет A зависит от пакета B со спецификацией версии, такой как:
// A/package.js
dependencies: {
"B": "^2.1.3"
}
Тогда npm будет поддерживать B в актуальном состоянии для любой версии 2.xy, где x> = 1 и (y> = 3, если x == 1 или y> = 0, если x> 1).
Однако, если исправление безопасности произошло в B версии 3.v.w, проблема безопасности останется в вашем npm хранилище.
Проблема здесь в том, что для использования версии 3.vw вам, возможно, придется обновить A, поскольку вполне вероятно, что между 2 и 3 произошли критические изменения (т. Е. Изменилось имя функции или поддержка определенного свойства). был удален.)
Вот пример прерывания изменений в модуле response-idle-timer :
Миграция с v3 на v4
В версии 4 есть несколько серьезных изменений:
- Хотя он по-прежнему способен отображать детей, с версии 4 мы не передаем детей в
IdleTimer. Если вы не очень хорошо разбираетесь в shouldComponentUpdate, вам следует избегать использования IdleTimer в качестве компонента оболочки.
- Свойство
startOnLoad было переименовано в startOnMount, чтобы иметь больше смысла в контексте React.
- Свойство
activeAction было переименовано в onActive.
- Свойство
idleAction было переименовано в onIdle.