Заставить npm обновить зависимость

Question

В моем проекте я использую "laravel-mix", который зависит от "webpack-dev-server"

"аудит npm" сообщает о уязвимости высокой серьезности в моей версии веб-пакета-dev-server, поэтому я пытался обновить его до последней версии ... но безуспешно.

Я пытался

npm update
npm update webpack-dev-server
npm update laravel-mix

безуспешно .. Я думаю,проблема в том, что laravel-mix уже обновлен, но его зависимость не ..

Я пытался добавить в качестве зависимости более позднюю версию webpack-dev-server, надеясь, что она заменитстарая, но вместо этого я просто сосуществую с двумя версиями:

npm ls webpack-dev-server
+-- laravel-mix@2.1.14
| `-- webpack-dev-server@2.11.3
`-- webpack-dev-server@3.1.10

Есть ли способ заставить меня обновить зависимость webpack-dev-server?Мне нужен laravel-mix для этого проекта, и, поскольку мои ресурсы скомпилированы на производственном сервере, я даже не могу установить его как зависимость только для разработчика.

Answer 1

К сожалению, если пакет, который вы используете, закрепил свою собственную зависимость, нет способа исправить ее на верхнем уровне вашего проекта, хотя это запланированная будущая функция npm, позволяющая использовать псевдонимы для переопределения зависимостей.

Краткое руководство по можно найти здесь , чтобы вручную просмотреть подзависимости и создать PR для проекта, чтобы исправить их собственную зависимость.

В будущем я также могупредложите использовать npm audit fix, если он доступен в используемой вами версии, так как он попытается автоматически исправить проблемы, если это возможно.

В целом, я бы не стал слишком беспокоиться об этом уязвимом пакете, хотя онЭто очень серьезная проблема, это будет проблемой только в том случае, если вы используете dev-сервер в работе, который, как говорится dev на жестяной коробке, вам определенно не следует использовать нигде, кроме как локально в dev.: -)