npm包安全漏洞等级
漏洞严重性从高到底排序:
- Critical(危急) 需要立即修复
- High(高) 尽可能快地修复
- Moderate(适中) 时间允许就修复
- Low(低) 随你自己什么时候修复
检查漏洞
npm audit
修复漏洞
修复漏洞的方法就是升级依赖版本。根据新版本是否向后兼容,分为两种方式:
升级到向后兼容的新版本依赖
在包里运行如下的命令可以自动下载安装向后兼容的新版本依赖。
npm audit fix
升级到不向后兼容的新版本依赖
在包里运行如下的命令可以自动下载安装新版本依赖,升级到不向后兼容的新版本时,依赖的调用逻辑可能需要重写。
npm audit fix --force