npm audit
当运行 npm i 的的时候,控制台会提示发现了多少漏洞信息 found 3 vulnerabilities, 这个时候再去运行 npm audit 就可以查看详细的信息了。但是,经目前测试(2021年2月23日)发现国内镜像不支持该操作。
如果 你的 .npmrc 文件设置了国内镜像,那么可以改成原始镜像去查看。
#registry=https://registry.npm.taobao.org/
#registry=https://registry.nodejitsu.com/
#registry=https://registry.enpmjs.org/
#registry=https://skimdb.pmjs.com/registry/
#registry=https://r.cnpmjs.org/
registry=https://registry.npmjs.org/npm update
npm update 更新安装包的版本。不带任何参数,对整个package.json 文件进行更新。也可以单独更新一个包到最新版。 npm update xxx
很多的时候解决这些安全漏洞只需要 npm update xxx 更新相应的包就可以了。
但是有些时候,会出现这样的问题。A包 依赖B包,B包又依赖C包。在你的程序中要用的是A包。但是却提示B或者C包有安全漏洞需要解决。明明你的A包已经是最新的版本了。但是依赖的B包或者C却不是。又没办法去直接修改A包的依赖信息。
这个时候可以动手 npm i B 或 npm i C ,然后 npm uni B 或者 npm uni C 再去package-lock.json检查出现漏洞的 B包或者C包 发现问题已经解决了。然后只需要将最新的package-lock.json提交即可。
E:xxxx\xxx> npm audit
=== npm audit security report ===
found 0 vulnerabilities