nodejs前端项目 如何显式指定某个依赖的版本 resolutions 字段 + npm-force-resolutions 插件 package-lock.json

已于 2023-02-19 19:32:17 修改
阅读量4.2k 收藏 6
点赞数 1
分类专栏: 配置 文章标签: package-lock npm-shrinkwrap resolutions package.json npm
于 2023-02-18 22:39:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyujin1997/article/details/129098567
版权

总目录: 如何使用VSCode插件codesight扫描出前端项目的风险依赖包并借助 npm-force-resolutions 修复之?blackduck issue fix

文章目录

问题描述

一个前端项目即将上线,在项目依赖风险扫描这一步出现了问题,需要修改一些依赖包(也包括深层依赖,即依赖的依赖)的版本,指定到系统认为安全的版本。

这类问题,如果是Java后端+Maven管理依赖的场景下,可以在pom.xml中配置dependencyManagement达到效果。
那么前端有没有拥有类似功能的配置?
有:package.json中的resolutions字段配置。

【解决方案】

对于直接依赖(node install xxx直接安装、并写入package.json中的依赖),可以修改其版本号。

而对于那些间接依赖/深层依赖,需要在package.json中新增preinstallresolutions
preinstall中的命令会在你执行npm install之后,执行安装之前执行。注意其中的插件npm-force-resolutions
而那些需要限制版本号的依赖,你可以列在resolutions中。

{
  "name": "react-env",
  "scripts": {
    "preinstall": "npm install --package-lock-only --ignore-scripts && npx npm-force-resolutions",
    ...
  },
  "resolutions": {
    "tar": "6.1.13",
    "trim-newline": "4.0.2"
  },
  "dependencies": {
    "sass": "5.0.0",
    ...
  }
}

需要注意的是,本来resolutionsnpm是无效的,只在使用yarn管理安装依赖时有用。
这里有用是因为插件npm-force-resolutions

还要注意的是,npm + npm-force-resolutions 的组合,需要项目里有一个package-lock.json文件。
如果你项目里没有该文件,或者是与之功能相似的npm-shrinkwrap.json文件,都需要先把需要的文件生成出来。

代码库变动demo

git repo: https://gitee.com/wuyujin1997/react-env/tree/hotfix%2Ffix-blackduck-issue/

PR:https://gitee.com/wuyujin1997/react-env/pulls/1/files
在这里插入图片描述

参考

前端依赖的版本号语法

平时在命令行npm install react会直接安装该依赖的最新版本,等效于执行npm install react@latest
安装命令之后会写到pacakge.json中,版本号一般不精确指定版本号

按格式:主版本号.次版本号.修订版本号

^1.2.3 只限定主版本号,次版本号和修订版本号可升级。相当于1.x.x
~1.2.3 主版本号+次版本号被限定,修订版本号可升级。相当于1.2.x
1.2.3 完全指定主版本号、次版本号、修订版本号。就只表示1.2.3这一个版本。

当然,关于版本号的规则,还有更多,你可以看看:
在这里插入图片描述

yarn 可以在 package.json 中通过 resolutions 指定依赖的版本

https://classic.yarnpkg.com/lang/en/docs/selective-version-resolutions/
Yarn支持指定版本的solutions,这样你就可以通过在package.json中编辑resolutions字段内容的方式,来自己指定某些依赖的版本了。
在这里插入图片描述

https://classic.yarnpkg.com/en/docs/package-json/
在这里插入图片描述

npm想要读取 package.json 中的 resolutions 需要一个配合另一个插件

https://www.npmjs.com/package/npm-force-resolutions
npm-force-resolutions 这个依赖包通过修改package-lock.json文件来强行限制那些传递依赖(依赖的依赖)的指定版本
这个功能很像yarn的指定依赖解决方案(selective dependency resolutions),但不需要迁移到yarn

This packages modifies package-lock.json to force the installation of specific version of a transitive dependency (dependency of dependency), similar to yarn’s selective dependency resolutions, but without having to migrate to yarn.

在这里插入图片描述

package-lock.json 和 npm-shrinkwrap.json

package-lock.json 如何生成

你有一个node前端项目,有一个package.json,里面有dependenciesdevDependencies等字段会列出所需依赖。
当你执行npm install成功后,会生成一个package-lock.json文件,这个文件里详细地列出了你所需依赖的层级、确切版本等。

npm-shrinkwrap.json 如何生成

你的项目里已经有package-lock.json文件了,这时执行npm shrinkwrap就会有以下两个效果:

  • 自动删除package-lock.json
  • 自动生成npm-shrinkwrap.json文件,其中内容来源于package-lock.json。至于两份数据是否一致这个我没注意,后面如果再有测试,会更新结论在这里。

package-lock.json 转为 npm-shrinkwrap.json

npm shrinkwrap

npm-shrinkwrap.json 转为 package-lock.json

两种方法

  1. 重命名npm-shrinkwrap.json文件为package-lock.json。后面执行npm install的时候会自动去调整package-lock.json中的内容。
  2. 删除npm-shrinkwrap.json文件,然后执行npm install。执行成功后相当于在此时此刻,根据package.json中列出的依赖下载到了哪些具体版本的依赖包,把这些依赖关系列出来写到了package-lock.json

我选的是1。
比方说有一个三年前的项目,三年前执行npm install后生成了当时的package-lock.json,这个文件里列出的是当时具体的依赖层次和版本。
后来的npm-shrinkwrap.json里的数据来自于那个时候的pacakge-lock.json,或者说,来自那个可以使项目正常运行的依赖树(层次/版本)

那我今天的修改,基于1,修改量会比较小。

如果选2,时过境迁,同一份package.json在不同时间、不同机器会下载到的依赖版本信息并不完全一致
也许会导致一些依赖版本发生大的变化,而影响项目运行。

但推荐你两种都试试,失败就当是刷经验值。

锦天
关注
专栏目录
为什么有了package.json还需要package-lock.json
weixin_43554584的博客
04-19 1025
记录一下package.jsonpackage-lock.json的用途及区别。
npmpackage.json
learning_web的博客
10-28 152
这里是修真院前端小课堂,每篇分享文从 【npmpackage.json 】 大家好,我是IT修真院北京总院第24期的学员,一枚正直纯洁善良的web程序员 今天给大家分享一下,修真院官网js任务3,深度思考中的知识点——npmpackage.json 1.背景介绍 NPM是随同NodeJS一起安装的包管理工具,能解决NodeJS代码部署上的很多问题,常见的使用场景有以下几种: 1-允许用户从NP...
npm-force-resolutions:强制npm安装特定的传递依赖版本
05-14
NPM部队决议 该软件包修改package-lock.json,以强制安装特定版本的传递依赖关系(依赖关系的依赖关系),类似于yarn的,但不必迁移到yarn。 警告开始之前 这种情况的用例是存在安全漏洞,并且您必须更新嵌套的依赖项,否则您的项目将很容易受到攻击。 但这只能用作最后一个资源,您应该首先更新顶级依赖关系,并为他们提出一个问题以更新易受攻击的子依赖关系( npm ls <vulnerable>可以帮助您解决此问题)。 如何使用 首先,将要修复的依赖版本字段resolutions添加到package.json ,例如: " resolutions " : { " hoek " : " 4.2.1 " } 然后将npm-force-resolutions添加到预安装脚本中,以便在您每次npm install之前修补package-lock文件:
推荐开源项目:`npm-force-resolutions`
gitblog_00053的博客
04-16 626
推荐开源项目npm-force-resolutions 项目地址:https://gitcode.com/rogeriochaves/npm-force-resolutions 在这个数字化时代,前端开发人员经常面临的一个挑战是依赖项管理。尤其是当项目中需要特定版本的库以保持一致性和稳定性时,npm-force-resolutions 这个项目提供了一个解决方案。 项目简介 npm-force-...
前端安全——最新:lodash原型漏洞从发现到修复全过程
最新发布
A_991128a的博客
07-22 899
人生的精彩就在于你永远不知道惊喜和意外谁先来,又是一个平平无奇的早晨,我收到了一份意外的惊喜——前端项目出现lodash依赖原型污染漏洞。咋一听,很新奇。再仔细一看,呕吼,更加好奇了~然后就是了解和修补漏洞之旅。最后的最后,却发现其实这个漏洞修复起来很简单。但是我的整个过程却是充满曲折和离奇。特此记录一下。
使用yarn/npm配置resolutions按需下载版本依赖
热门推荐
SHALLNY
02-25 1万+
最近在修复项目代码漏洞时,要求对使用的依赖包进行版本升级,其中包括一些子依赖包要求升级到对应版本的问题 其中关于antv/g2内携带的子依赖d3-color 当前版本为2.0.0,需升级到3.0.0 一般思维,可能是直接升级d3-color,如终端执行yarn upgrade package@version,但是是不起作用的,它的最上层antv/g2为低版本,内部板顶d3-color为低版本,此时若需升级d3-color,可要么通过升级g2位最新版本来间接性升级子依赖包(事实证明,并非所有的依赖可.
package.jsonresolutions的使用场景
全栈弄潮儿
06-07 2217
peerDependencies 是为了确保库与项目中已经安装的特定版本依赖兼容;resolutions 是为了强制项目中使用特定版本依赖,解决版本冲突。peerDependencies 不会自动安装依赖,只是给出警告;resolutions 会覆盖项目中的依赖版本,强制使用指定版本。peerDependencies 适用于库开发者,确保库与用户项目中的依赖版本兼容;resolutions 适用于项目维护者,解决依赖版本冲突或强制使用特定版本依赖
node 查看安装依赖的所有版本
gaoqi19980503的博客
09-09 1440
node 查看安装依赖的所有版本
package.json中的resolutions作用
qq_43592064的博客
08-22 8045
package.json中的resolutions作用
nodejspackage.json配置参数
qq_35134066的博客
02-22 3485
一直对node设置package.json的参数不甚了解,借着vscode工具的注释,我把package.json中的options全部展示一下,中文注释部分可能不是package.json里的配置参数,要慎用!!!至于没有注释的要么是重复的,要么就是没有提示。 后来找到的官方文档地址:/nodejs/node_modules/npm/html/doc/files/package.json.ht...
NPM安装
虬川候的博客
05-24 291
认识NPM Npm(全称Node Package Manager, 即node包管理器) 是Node.js默认的,以JavaScript编写的软件包管理系统。(就是node.js的一项功能) Npm 来分享和使用代码已经成了前端的标配 官网: https://www.npmjs.com Npm被全球超过1100万开发人员所依赖 拥有超过一百万个软件包,是世界上最大的软件注册表. Npm就是一个专业前端的应用商店,在里面你可以分享下载,前端的模块,并且会自动安装其依赖的文件 安装NPM Npm
nodejs如何排除间接依赖
07-22
在 Node.js 中,你可以使用 package.json 文件中的 "resolutions" 字段来排除间接依赖。这个字段允许你指定要使用的特定版本,以解决版本冲突或排除特定版本依赖。 以下是如何使用 "resolutions" 字段来排除间接...
node包管理:package.json依赖版本解析
Concentrateon的博客
10-21 535
在包的树状结构中,有时候会出现一个问题。比如两个包a、b同时依赖于不同版本的一个包c,那么这个包c会分为两个包分别下载,第一个会被下载到a、b同级的位置,当做一个扁平化处理,为了减少包的下载量,另一个会被下载到后面的包b中。但是这样子会报一个错,因为包b中c的版本和b之外的版本不同,所以会报错"UNMET PEER DEPENDENCY",即"父依赖缺少了这个依赖的对等版本";
配置package.json 文件里的 resolutions 按需下载依赖版本
H_carrot的博客
08-26 1万+
配置package.json 文件里的 resolutions 按需下载依赖版本
node---通过配置统一前端项目的 Node 版本和包管理器
COCOLI_BK的博客
08-04 825
以上配置完成后,npm install 试试吧,错误的 Node.js 将直接退出!以上配置完成后,可以再乱用 (yarn、npm、pnpm) 试试。锁定项目 Node 版本
[前端] npm安装依赖(dependency)版本号及更新规则
梦醒贰零壹柒
08-22 960
npm安装依赖(dependency)版本号及更新规则
命令行查看依赖包的所有版本号-查看版本
weixin_42498482的博客
07-08 3301
npm view 依赖包名 versions --json npm view swiper versions --json
package.json
qq_30436011的博客
11-03 473
{ //发布时候的包名 @xxx是代表范围包 "name": "@xxx/package", //发布时候的包版本 "version": "1.0.0", //包的描述 "description": "xxx", //包私有,无法发布到npm "private":true, //包的关键字 用于npm搜索 "keywords": [ "xxx", "xxx" ], //包的主页url "homepage":"", //issue的地址,也可是strin.
npm锁定依赖版本
weixin_43621379的博客
07-01 3779
npm config set save-exact true 这样每次 npm i xxx --save 的时候会锁定依赖版本号,相当于加了 --save-exact 参数。 小提示:npm config set 命令将配置写到了 ~/.npmrc 文件,运行 npm config list 查看。 通过运行 npm shrinkwrap ,会在当前目录下产生一个 npm-shrinkw...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值