Что именно делает "npm исправление аудита"?

Question

npm audit fix предназначен для автоматического обновления / исправления уязвимостей в пакетах npm. Тем не менее, я не выяснил, что именно он делает для исправления этих уязвимостей.

Я предполагал, что npm audit fix обновит зависимости и зависимости до последних версий, которые допускаются в определениях semver-определений пакеты - фактически так же, как rm package-lock.json; npm install. Однако npm audit fix все еще выполняет много изменений после удаления файла блокировки + переустановки.

Что именно делает npm audit fix? Например, устанавливает ли он версии зависимостей, более новые, чем те, которые разрешены соответствующим package.json (но по-прежнему совместимы с semver)?

Answer 1

С сайта NPM по их команде аудита :

npm audit fix запускает полноценный npm install под капотом

И похоже, что исправление аудита по умолчанию выполняет только совместимые с semvar обновления. Перечислено ранее в этом документе:

Устанавливать исправления аудита для установки основных обновлений для не только совместимых с полувыведением обновлений:

$ npm audit fix --force

Что касается блокировки файл, он восстанавливается каждый раз, когда вы запускаете команду, которая меняет package.json. Более подробную информацию об этом можно найти в ответе здесь , а также в официальной документации .