Я использую npm версии 6.1.0. В моем файле package-lock.json есть пакет с именем mem, который не является частью моего файла package.json. Это версия 1.1.0. К сожалению, GitHub это не нравится. Цитаты на Github:

В nodejs-mem до версии 4.0.0 есть утечка памяти из-за того, что старые результаты не удаляются из кеша, несмотря на достижение maxAge. Использование этого может привести к истощению памяти и последующему отказу в обслуживании.

С терминала, как правильно обновить этот конкретный пакет mem, чтобы мой package-lock.json правильно его отражал.

2
klewis 9 Окт 2019 в 00:51

1 ответ

Лучший ответ

Вы должны быть осторожны, некоторые из ваших зависимостей используют этот пакет. Если вы обновите mem вручную, некоторые из ваших зависимостей могут выйти из строя. Как вы указали, GitHub обнаружил уязвимость, которую вы можете попробовать запустить npm audit fix (NPM автоматически исправляет уязвимости).

GitHub также имеет автоматические исправления безопасности.

Вы также можете узнать, какой пакет использует mem, запустив npm ls mem. Затем обновите пакет верхнего уровня до npm update <package>

Если все это не помогает, я бы не рекомендовал обновлять его вручную. Это могло сломать больше, чем исправить.

6
MarvinJWendt 8 Окт 2019 в 22:05