"npm audit fix" установит устаревший пакет

Question

"npm audit fix" установит устаревший пакет

Когда я запускаю npm audit, он сообщает мне следующее об уязвимостях:

      react-dev-utils  0.4.0 - 12.0.0-next.60
Severity: critical
Improper Neutralization of Special Elements used in an OS Command. - https://github.com/advisories/GHSA-5q6m-3h65-w53x
Depends on vulnerable versions of browserslist
Depends on vulnerable versions of fork-ts-checker-webpack-plugin
Depends on vulnerable versions of globby
Depends on vulnerable versions of immer
Depends on vulnerable versions of immer
Depends on vulnerable versions of inquirer
Depends on vulnerable versions of strip-ansi
fix available via `npm audit fix --force`
Will install @sambego/storybook-state@1.3.6, which is a breaking change
node_modules/@sambego/storybook-state/node_modules/react-dev-utils
node_modules/react-dev-utils

Он говорит, что npmfix установит

-> @sambego / storybook-state@1.3.6 ,

но в моем package.json говорится

-> "@sambego / storybook-state": "^2.0.1",

Так что мой пакет намного новее, чем рекомендованный.

Я приму любой ответ, который скажет мне, могу ли я игнорировать эту критическую уязвимость npm и почему.

1

node.js npm audit npm-vulnerabilities

Источник

user3601578 20 дек '21 в 16:13

1 ответ

Другие вопросы по тегам node.js npm audit npm-vulnerabilities

user1528378 11 янв '23 в 11:44 2023-01-11 11:44 · Answer 1 · 2023-01-11 11:44

Это происходит и у меня. Если вы видите изображение ниже, исправление предлагает установить устаревшую версию testcafe.

То же самое происходит и с codelyzer, он жалуется на угловую версию и предлагает установить [email protected] вместо версии 6.xx, которая используется в проекте.