Как узнать, какой пакет (из package.json) связан с уязвимым (в package-lock.json)?
(отвечая на мой вопрос): Уязвимый пакет был назван growl.Итак, команда npm ls growl показывает пакеты, которые зависят от нее:
$ npm ls growl
my-project@1.0.1 C:\some_project
`-- mocha@3.5.3
`-- growl@1.9.2
Тогда возникает вопрос о поиске более новой версии тех пакетов (в данном случае mocha), которые используют более современную версию.На момент получения этого ответа уязвимость была исправлена в growl@1.10.0 (согласно анализу уязвимостей GitHub).Итак, просмотрите примечания к выпуску для mocha , чтобы увидеть, какая версия обновлена до рычания 1.10.Я заметил:
4.0.1 / 2017-10-05
? Исправления
- # 3051: Обновите Growl до v1.10.3, чтобы исправить егопроблемы peer dep (@dpogue)
Обновление моего package.json для отображения "mocha": ">=4.0.1", с последующим повторным запуском npm install, за которым следует npm ls growl, теперь показывает уязвимую в настоящее время версиюрычание:
my-project@1.0.1 C:\some_project
`-- mocha@5.2.0
`-- growl@1.10.5