Github недавно представил функцию, которая уведомляет вас об уязвимостях в вашей package-lock.json. Я хотел бы решить эти проблемы, но большинство пакетов, перечисленных здесь, являются зависимостями моих зависимостей, и поэтому неясно, какой пакет верхнего уровня (перечисленный в моем package.json) необходимо обновить для решения проблемы.
Я понимаю, что могу зайти в свой package-lock.json, найти пакет, проследить его, пока не доберусь до пакета в моем package.json, но это кажется излишне утомительным, когда у меня есть десятки пакетов для обновления. Написание скрипта для автоматизации, которое тоже не будет слишком сложным, но прежде чем я предприму это усилие, я надеюсь, что есть либо существующий инструмент, либо (в идеале) функция npm, которая просто даст мне ответ.
Итак, исходя из предположения, что я не могу быть первым человеком, который захочет это сделать, мой вопрос:
Как я могу определить, какой пакет в моем package.json привел к тому, что другой конкретный пакет был указан в моем package-lock.json, не проходя вручную через package-lock и отслеживая каждый пакет?