Итак, у меня есть этот пакет внутри package-lock.json:
"micromatch": {
"version": "2.3.11",
"resolved": "https://registry.npmjs.org/micromatch/-/micromatch-2.3.11.tgz",
"integrity": "sha1-hmd8l9FyCzY0MdBNDRUpO9OMFWU=",
"requires": {
"arr-diff": "^2.0.0",
"array-unique": "^0.2.1",
"braces": "^1.8.2",
"expand-brackets": "^0.1.4",
"extglob": "^0.3.1",
"filename-regex": "^2.0.0",
"is-extglob": "^1.0.0",
"is-glob": "^2.0.1",
"kind-of": "^3.0.2",
"normalize-path": "^2.0.1",
"object.omit": "^2.0.0",
"parse-glob": "^3.0.4",
"regex-cache": "^0.4.2"
}
}
Уязвимость: "фигурные скобки": "^ 1.8.2", когда я запускаю аудит npm, он говоритэто исправлено на 2.3.1, но я не могу обновить его или просто не знаю как.
То, что я пробовал:
- npm устанавливает как micromatch, так и фигурные скобки, затем выполняет исправление аудита npm.
- npm install && npm удаляет и micromatch, и фигурные скобки, а затем запускает обновление npm
- , удаляя node_modules и package-lock.json ивыполняя npm i -f
- , редактируя package-lock.json вручную, изменяя версию и требование к зависимости, а затем выполняя исправление аудита npm (которое оно исправило, но затем я запустил npm install, ион откатил версию до 1.8.2)
Вероятно, есть пара вещей, которые я не понимаю из зависимостей npm.Так как я могу это исправить?
Отредактировано для package.json
{
"name": "project",
"version": "0.1.0",
"private": true,
"dependencies": {
"@material-ui/core": "^3.9.2",
"@material-ui/icons": "^3.0.2",
"micromatch": "^3.1.10",
"prop-types": "latest",
"react": "^16.8.2",
"react-async-component": "^2.0.0",
"react-dom": "^16.8.2",
"react-scripts": "^2.1.5",
"typeface-roboto": "0.0.54"
},
"scripts": {
"start": "react-scripts start",
"build": "react-scripts build",
"test": "react-scripts test",
"eject": "react-scripts eject"
},
"eslintConfig": {
"extends": "react-app"
},
"browserslist": [
">0.2%",
"not dead",
"not ie <= 11",
"not op_mini all"
],
"devDependencies": {
"react-router-dom": "^4.3.1"
}
}