在github上第一次上传了自己的项目,然后就收到了安全警告。
作为新手,当然也是对怎么解决这个问题,感到一头雾水。经过一番摸索之后,在这里记录并分享一下解决方式。先点进去看看是什么问题。
然后点击依赖名称进去看看详细情况,里面有给出有安全隐患的依赖应该升级到哪一个版本,以及低于该推荐版本前会有什么样的隐患:
然后我们打开我们项目中的package.json文件。这里我一开始在解决的时候,我百度了一下,然后有说法是在package-lock.json文件中查找依赖名称进行修改,然后我一查,能找到好多个地方都有这个依赖名称,我头都大了。后面发现其实有些依赖是可以通过直接在package.json中修改就能解决的。
例如,我上面安全隐患的截图中,关于webpack-bundle-analyzer依赖就可以在在package.json中查找到。现在,我们来查一下webpack-bundle-analyzer,发现只有一处。然后根据github的提示是至少要3.3.2版本或以上,修改如下:
然后打开cmd,进入到项目中,然后运行 npm install
然后push到github上去,然后去刷新安全提示那个页面,就可以看到关于webpack-bundle-analyzer的安全提示已经自动关闭了。有些依赖在package.json中找不到,在package-lock.json中倒是能够找到。这里先分享一下我找到的一篇关于package-lock.json文件的作用的博客:package-lock.json的作用。博客里面也给出了更新方法。
在以前可能就是直接改package.json里面的版本,然后再npm install了,但是5版本后就不支持这样做了,因为版本已经锁定在package-lock.json里了,所以我们只能npm install [email protected] 这样去更新我们的依赖,然后package-lock.json也能随之更新。
所以我们可以直接打开cmd进入到项目下,运行:
// @后面的版本号可以根据github安全警告给出的解决方案来
npm install [email protected]
npm install [email protected]
npm install [email protected]
然后push代码到github上,然后来检验一下效果:
