我做Angular 9项目已经有一段时间了。不久前,出现了一条警告,称minimit软件包存在中度安全漏洞。然而,当我尝试用(sudo) npm audit fix修复它们时,它无法修复这些问题,(sudo) npm update也不会更新它们,即使它们有更新的版本。我该怎么解决这个问题?
您可以使用全新的Angular 9应用程序来重现这个问题;默认情况下安装了minimit。对于一个新项目,它们将显示为"低"级别的漏洞,但我认为其要点是一样的。
这是个好问题。我这样做是为了修复漏洞问题。
将其添加到package.json中,类似于devDependencies之后的最后一个条目;
"resolutions": {
"minimist": "^1.2.5"
}
在脚本部分添加:
"scripts": {
"preinstall": "npx npm-force-resolutions"`
}
当你在你的终端上运行完这个:
npx npm-force-resolutions && npm install
但在安装新软件包时,它通常会返回到以前的版本,然后我再次运行以前的命令。
目前您无法修复它,因为angular 9与(新的(minimit版本不兼容,后者没有漏洞。您可以关注github:上的问题
https://github.com/substack/minimist/issues/145
https://github.com/angular/angular/issues/36104