Недавно я обнаружил функцию npm audit и выполнил команду, чтобы найти уязвимости в проекте, над которым я работаю.Наткнулся на кучу их (более 100).
npm предполагает, что запуск npm audit fix исправит все уязвимости, кроме тех, которые имеют критические изменения.Я не сталкивался с такой уязвимостью в своем коде, и теперь он показывает 0 уязвимостей.
Мой вопрос заключается в том, что когда я отправляю код в github, будут ли эти уязвимости уже исправлены для того, кто клонирует / разветвляет этот репозиторий?
Для контекста, node_modules игнорируются в моем файле .gitignore (что означает, что они не помещаются в github вместе с кодом).Поскольку в node_modules применяются эти «исправления уязвимостей», они сохраняются для всех, кто затем разветвляет / клонирует это репо?
Если так, то как?Это как-то связано с package-lock.json?
Если нет, есть ли способ сделать эти изменения постоянными?