Мне очень интересно, что я не могу найти ответ на этот простой вопрос. Кроме того, я очень удивляюсь, что npm update не решает эту проблему.
Я не могу опубликовать здесь свое полное дерево зависимостей, но все же позвольте мне описать мою проблему:
minimist устарел (версия 1.2.0) и имеет уязвимость безопасности в этой версии. Пакеты требуют, чтобы minimist определял зависимость как ^ 1.2.0 - так что она совместима с 1.2.2.
Общее решение состоит в том, чтобы установить ее на package.json в devDependencies или dependencies с ^1.2.2. Я не хочу помещать это в package.json. Я чувствую, что npm update также должен обновлять косвенные зависимости.
Я что-то упустил?
Здесь вы можете увидеть мой пакет-блокировку. json: https://github.com/tflori/riki-community/blob/master/package-lock.json
А на выходе npm ls minimist:
riki-community@ /home/iras/work/projects/riki/community
├─┬ awesome-typescript-loader@5.2.1
│ ├─┬ loader-utils@1.2.3
│ │ └─┬ json5@1.0.1
│ │ └── minimist@1.2.0 deduped
│ └─┬ mkdirp@0.5.1
│ └── minimist@0.0.8
├─┬ jest@25.1.0
│ └─┬ @jest/core@25.1.0
│ ├─┬ @jest/transform@25.1.0
│ │ └─┬ @babel/core@7.8.7
│ │ └─┬ json5@2.1.2
│ │ └── minimist@1.2.5
│ └─┬ jest-haste-map@25.1.0
│ └─┬ sane@4.1.0
│ ├─┬ @cnakazawa/watch@1.0.4
│ │ └── minimist@1.2.0 deduped
│ └── minimist@1.2.0 deduped
├─┬ node-sass@4.13.1
│ └─┬ meow@3.7.0
│ └── minimist@1.2.0
├─┬ ts-jest@25.2.1
│ └─┬ json5@2.1.2
│ └── minimist@1.2.5
├─┬ tsconfig-paths-webpack-plugin@3.2.0
│ └─┬ tsconfig-paths@3.8.0
│ └── minimist@1.2.0 deduped
└─┬ webpack@4.42.0
└─┬ watchpack@1.6.0
└─┬ chokidar@2.1.8
└─┬ UNMET OPTIONAL DEPENDENCY fsevents@1.2.9
└─┬ UNMET OPTIONAL DEPENDENCY node-pre-gyp@0.12.0
├─┬ UNMET OPTIONAL DEPENDENCY mkdirp@0.5.1
│ └── UNMET OPTIONAL DEPENDENCY minimist@0.0.8
└─┬ UNMET OPTIONAL DEPENDENCY rc@1.2.8
└── UNMET OPTIONAL DEPENDENCY minimist@1.2.0