Сложность обновления минимиста с Angular 9

Question

Я уже некоторое время занимаюсь проектом Angular 9. Некоторое время назад появилось предупреждение об умеренной уязвимости безопасности с пакетом minimist . Однако, когда я пытаюсь исправить их с помощью (sudo) npm audit fix, они не могут решить эти проблемы, и (sudo) npm update также не будет обновлять их, даже если они имеют более новые версии. Как я могу это исправить?

Вы можете воспроизвести эту проблему с новым приложением Angular 9; Минимист установлен по умолчанию. Для нового проекта они проявятся как уязвимость низкого уровня, но я думаю, что суть ее та же.

Answer 1

Это отличный вопрос. Я делаю это, чтобы исправить проблему уязвимости.

Добавьте это в пакет. json как последняя запись после devDependencies;

"resolutions": { "minimist": "^1.2.5" }

и в разделе сценариев добавьте: "scripts": { "preinstall": "npx npm-force-resolutions"} `

когда вы заканчиваете sh запускаете это в своем терминале:

npx npm-force-resolutions && npm install

Но при установке нового пакета обычно go возвращается к предыдущей версии, и я запускаю предыдущую команда снова.

Answer 2

В настоящее время вы не можете это исправить, потому что angular 9 не совместим с (новой) минималистической версией, в которой нет уязвимостей. Вы можете следить за вопросами на github:

https://github.com/substack/minimist/issues/145

https://github.com/angular/angular/issues/36104