在github上第一次上傳了自己的項目,然後就收到了安全警告。
作爲新手,當然也是對怎麼解決這個問題,感到一頭霧水。經過一番摸索之後,在這裏記錄並分享一下解決方式。先點進去看看是什麼問題。
然後點擊依賴名稱進去看看詳細情況,裏面有給出有安全隱患的依賴應該升級到哪一個版本,以及低於該推薦版本前會有什麼樣的隱患:
然後我們打開我們項目中的package.json文件。這裏我一開始在解決的時候,我百度了一下,然後有說法是在package-lock.json文件中查找依賴名稱進行修改,然後我一查,能找到好多個地方都有這個依賴名稱,我頭都大了。後面發現其實有些依賴是可以通過直接在package.json中修改就能解決的。
例如,我上面安全隱患的截圖中,關於webpack-bundle-analyzer依賴就可以在在package.json中查找到。現在,我們來查一下webpack-bundle-analyzer,發現只有一處。然後根據github的提示是至少要3.3.2版本或以上,修改如下:
然後打開cmd,進入到項目中,然後運行 npm install
然後push到github上去,然後去刷新安全提示那個頁面,就可以看到關於webpack-bundle-analyzer的安全提示已經自動關閉了。有些依賴在package.json中找不到,在package-lock.json中倒是能夠找到。這裏先分享一下我找到的一篇關於package-lock.json文件的作用的博客:package-lock.json的作用。博客裏面也給出了更新方法。
在以前可能就是直接改package.json裏面的版本,然後再npm install了,但是5版本後就不支持這樣做了,因爲版本已經鎖定在package-lock.json裏了,所以我們只能npm install [email protected] 這樣去更新我們的依賴,然後package-lock.json也能隨之更新。
所以我們可以直接打開cmd進入到項目下,運行:
// @後面的版本號可以根據github安全警告給出的解決方案來
npm install [email protected]
npm install [email protected]
npm install [email protected]
然後push代碼到github上,然後來檢驗一下效果:
