TLDR: अद्यतन मूल पैकेज का उपयोग कर npm i $PARENT_PKG_NAME
।
ध्यान दें
निर्भरता को अद्यतन करते समय, आपको किसी भी परिवर्तन के लिए CHANGELOG की समीक्षा करनी चाहिए।
निदान
npm audit
दोनों कमजोर पैकेज को प्रकट करेगा (ध्यान दें कि आपको इसके लिए एक पैकेज-लॉक.जॉसन फ़ाइल की आवश्यकता होगी, इसलिए आपको चलाने की आवश्यकता होगी npm i
), साथ ही साथ पैकेज कि यह (यदि लागू हो) की निर्भरता है। ध्यान दें कि आप npm ls $CHILD_PKG_NAME
इसकी मूल निर्भरता देखने के लिए भी उपयोग कर सकते हैं ।
क्विक फिक्स अटेम्प्ट
npm audit fix
और npm audit fix --force
एक कोशिश के लायक हैं, लेकिन कभी-कभी फिक्स को मैन्युअल रूप से करने की आवश्यकता होगी (नीचे देखें)।
मैनुअल फिक्स
सबसे अधिक संभावना है कि माता-पिता पैकेज ने पहले से ही अपनी निर्भरताएं तय कर ली हैं (आप उनके GitHub में जाकर और हाल ही में किए गए कमिट्स की समीक्षा करके यह सत्यापित कर सकते हैं - या यह देखते हुए कि यह इसे ठीक करता है), तो आप बस चला सकते हैं npm i $PARENT_PKG_NAME @$NEW_VERSION
और यह आपके पैकेज-लॉक को अपडेट कर देगा .json।
यदि माता-पिता ने भेद्यता तय नहीं की है
यदि अनुचर उत्तरदायी नहीं लगता है, तो आप एक वैकल्पिक पैकेज का उपयोग करने पर विचार कर सकते हैं जो एक ही चीज़ को पूरा करता है या पैकेज को फोर्क करने और स्वयं को भेद्यता को अपडेट करने के लिए।
फिक्स को सत्यापित करें
अब आप यह सत्यापित कर सकते हैं कि इसने काम करके यह npm audit
सुनिश्चित किया है कि कोई भेद्यता दिखाई न दे। अपने परिवर्तन करें, उन्हें GitHub पर धकेलें, अपनी सूचनाओं / अलर्टों को ताज़ा करें और उन्हें हटा दिया जाना चाहिए!