Как правильно обновить пакет mem в файле package-lock.json

Question

Я использую npm версии 6.1.0. В моем файле package-lock.json есть пакет с именем mem, который не является частью моего файла package.json. Это на версии 1.1.0. К сожалению GitHub не нравится. Цитаты Github:

В nodejs-mem до версии 4.0.0 произошла утечка памяти из-за того, что старые результаты не удалялись из кэша, несмотря на достижение maxAge. Использование этого может привести к исчерпанию памяти и последующему отказу в обслуживании.

Из терминала, как правильно обновить этот конкретный пакет mem, чтобы мой package-lock.json отражал его правильно.

Answer 1

Вы должны быть осторожны, некоторые ваши зависимости используют этот пакет. Если вы обновите mem вручную, некоторые из ваших зависимостей могут сломаться. Как вы указали, GitHub обнаружил уязвимость, которую вы можете попробовать запустить npm audit fix (автоматические исправления уязвимостей NPM).

GitHub также поддерживает автоматические исправления безопасности

Вы можететакже выясните, какой пакет использует mem, запустив npm ls mem. Затем обновите пакет верхнего уровня с помощью npm update <package>

Если все это не поможет, я бы не рекомендовал обновлять его вручную. Это может сломать больше, чем исправить.