GitHub обнаружил уязвимость в зависимости, но я запустил обновление npm, а зависимость не обновилась?

Question

На толчке на GitHub я получил это сообщение:

GitHub обнаружил 1 уязвимость в ветви имени пользователя / имени проекта по умолчанию (1 умеренная).

Я проверил проект на Github и обнаружил, что мне нужно обновить Sequelize до 5.3.0. Локально я запустил npm update, и еще один из моих пакетов обновился, но Sequelize не обновился.

Я зафиксировал, затем снова отправил на Github и получил то же предупреждение об уязвимости. Я проверил package.json, и он показывает следующее в зависимости:

"sequelize": "^4.43.1"

Есть ли что-то другое, что мне нужно сделать, чтобы обновить Sequelize? Или хотя бы разрешить это предупреждение?

Answer 1

npm update соблюдает ограничения зависимостей карет in package.json. Вы запрашиваете версию "^4.43.1", , что означает наличие последней версии без обновления самой левой ненулевой цифры . Последняя 4.x.y версия sequelize - 4.43.1.

Обновите свою основную версию в package.json, например, на ^5.3.0, так как это то, что вам нужно, затем снова запустите npm update. Это должно дать вам последний выпуск с основной версией 5 (5.3.5 на момент написания). Он также обновит как package.json, так и package-lock.json.