TLDR: actualice el paquete principal usando npm i $PARENT_PKG_NAME
.
Nota
Al actualizar las dependencias, debe revisar el CHANGELOG para ver si hay cambios importantes.
Diagnóstico
npm audit
revelará tanto el paquete vulnerable (tenga en cuenta que necesitará un archivo package-lock.json para esto, por lo que deberá ejecutarlo npm i
), así como el paquete del que depende (si corresponde). Tenga en cuenta que también puede usar npm ls $CHILD_PKG_NAME
para ver sus dependencias principales.
Intento de solución rápida
npm audit fix
y npm audit fix --force
vale la pena intentarlo, pero a veces la corrección deberá realizarse manualmente (ver más abajo).
Arreglo manual
Lo más probable es que el paquete principal ya haya solucionado sus dependencias (puede verificar esto yendo a su GitHub y revisando las confirmaciones recientes, o simplemente viendo si esto lo soluciona), por lo que puede ejecutar npm i $PARENT_PKG_NAME @$NEW_VERSION
y actualizará su bloqueo de paquete .json.
Si el padre no ha solucionado la vulnerabilidad
Si el mantenedor no parece responder, puede considerar usar un paquete alternativo que logre lo mismo o bifurcar el paquete y actualizar la vulnerabilidad usted mismo.
Verificar corrección
Ahora puede verificar que funcionó ejecutando npm audit
y asegurándose de que no aparezcan vulnerabilidades. Confirme sus cambios, envíelos a GitHub, actualice sus notificaciones / alertas y ¡deberían desaparecer!