哪些 NPM CLI 命令可用于更新依赖项的依赖项？

Posted 2023-03-07

【中文标题】哪些 NPM CLI 命令可用于更新依赖项的依赖项？

【英文标题】：What NPM CLI command can be used to update a dependency of a dependency?

【发布时间】：2021-11-28 01:48:27

【问题描述】：

目前

我在 2 个位置有 immer 作为依赖项。

+-- aws-amplify@4.3.1
| `-- @aws-amplify/datastore@3.4.7
|   `-- immer@9.0.6
`-- react-scripts@4.0.3
  `-- react-dev-utils@11.0.4
    `-- immer@8.0.1

问题

immer 的旧版本存在严重漏洞。我需要更新依赖。

问题

更新旧 immer 依赖项的 CLI 命令是什么？

备注

我一直在寻找这个问题的答案，我怀疑这个解决方案非常简单，因为我找不到这个问题的任何答案。 我试过npm update immer 和npm --depth 5 update immer 都没有解决问题。

【参考方案1】：

我认为你可以使用npm i。如果这不起作用，您可以删除节点模块文件夹并输入npm i

【讨论】：

这如何解决 OP 的问题？ npm i 只是 npm install 的别名，它将递归地安装 package.json 中的依赖项，并且仍然默认为嵌套包的易受攻击版本

【参考方案2】：

第 1 部分

仅将这部分视为学术答案。不要在现实生活项目中使用。

严格回答你的问题：

更新旧 immer 依赖项的 CLI 命令是什么？

您可以使用 npm shrinkwrap 手动管理嵌套依赖项：

npm shrinkwrap

这会将package-lock.json 重命名为npm-shrinkwrap.json。它们是相同的，除了 npm-shrinkwrap.json 可以手动编辑以设置依赖版本。 在这种情况下，请在 shrinkwrap 文件中找到 "immer": "8.0.1" 并将其更新为您想要的版本：

  "node_modules/react-dev-utils": 
  "version": "11.0.4",
  "resolved": "https://registry.npmjs.org/react-dev-utils/-/react-dev-utils-11.0.4.tgz",
  "integrity": "sha512-...",
  "dependencies": 
    ...
    "immer": "8.0.1", <== Change this to "9.0.6"

然后删除此块以允许 npm 使用更新版本：

  "node_modules/react-dev-utils/node_modules/immer": 
    "version": "8.0.1",
    "resolved": "https://registry.npmjs.org/immer/-/immer-8.0.1.tgz",
    "integrity": "sha512-...",
    "funding": 
      "type": "opencollective",
      "url": "https://opencollective.com/immer"
    
  ,

之后你可以运行npm i 然后检查你的依赖：

$ npm i
$ npm list immer

playground@1.0.0 /private/tmp/playground
├─┬ aws-amplify@4.3.2
│ └─┬ @aws-amplify/datastore@3.4.8
│   └── immer@9.0.6
└─┬ react-scripts@4.0.3
  └─┬ react-dev-utils@11.0.4
    └── immer@9.0.6 deduped

请记住，手动升级嵌套依赖项可能会导致不良影响。在这种情况下，将react-dev-utils 使用的immer 升级到9.0.6 可能会破坏react-dev-utils 的部分功能，因为immer@9.0.9 是8.0.1 之前的主要版本。主要版本可能包含向后不兼容的更改。

您最终可能会因为根本不影响您的漏洞而破坏部分工具；在react-dev-utils 中检查immer 的确切用法并确保用法与9.0.6 兼容可能会非常耗时。

第 2 部分

这是在不回答您的问题的情况下尝试解决问题

解决问题：

旧版本的 immer 存在严重漏洞。

并非所有漏洞都会影响您的最终用户。这个特定的漏洞是reported on create-react-app，被归类为“仅限开发”问题，不会影响用户，因为它不会出现在他们浏览器上运行的代码中。

更多信息请访问another issue on create-react-app。

我解决漏洞的常用步骤：

如果可能，将所有依赖项升级到最新的稳定版本 如果漏洞仍然存在，请阅读建议页面以了解它是否会影响我。 npm audit 提供详细信息。请记住，开发工具中的漏洞不一定是用户的问题。 访问***依赖的 npm 页面，如果没有被报告，请转到其问题跟踪器并报告它 如果项目接受贡献并且修复相当简单，请打开拉取请求并提供帮助。 不得已：降级，将嵌套依赖升级到破坏版本，如果没有维护则更换包

在这种情况下，create-react-app 的维护者已经看到并建议这是构建工具上下文中的误报。

【讨论】：

Dan Abramov 在这里对为什么这些不是实际漏洞有一个很好的解释：Help, npm audit says I have a vulnerability in react-scripts! issue #11174