Q&A
@frctl/fractal@1.5.2 の依存関係 vorpal@1.12.0 の依存関係 inquirer@0.11.0 の依存関係に lodash@3.10.1 がありますね。どうしたものか…。
初めてnpmを勉強してます。
的外れな質問してたらすみません。
実現したいこと
脆弱性の問題が出てますが、npm audit fixで解消できず。
手動で解消したい。
試したこと
対象は、「lodash」というパッケージになります。
npm ls lodashで確認すると、下から3番目のが3.10.1とバージョンが古かったです。
以下によると、「package.json」を書き換えたら良いとありました。
ですがpackage.jsonを開くとlodashには「4.17.20」と新しいものが指定されていました。
※一番下の行
json
1{ 2 "name": "frac", 3 "version": "1.0.0", 4 "description": "", 5 "main": "index.js", 6 "scripts": { 7 "test": "echo \"Error: no test specified\" && exit 1" 8 }, 9 "author": "", 10 "license": "ISC", 11 "dependencies": { 12 "@frctl/fractal": "^1.5.2" 13 }, 14 "devDependencies": { 15 "axios": "^0.21.1", 16 "lodash": "^4.17.20" 17 } 18} 19
他のページも調べました。
こちらのページでは、書き換えるのは、「package-lock.json」の方とあります。
npm audit fixで解決しないとき
なので
package-lock.json
を開き、
3.10.1のものを
4.17.20に変えて保存、npm installしました。
ですが、こうすると何度やっても
package-lock.jsonが作り直されます(上書きされる)。
どちらの情報に従っても解消できません。
分かる方教えて下さい。
宜しくお願いします。
回答1件
0
ベストアンサー
npmのサイトでvorpalを確認すると
バージョン1.12.0 • Public • Published 4 years ago
とあり、4年前から更新されていません。
inquirerを確認すると
バージョン7.3.3 • Public • Published 6 months ago
となっていますが、あなたのvorpal@1.12.0が依存しているinquirerは0.11.0ですね。
lodashが古いのは、vorpalが古すぎるのが原因だと思います。
vorpalの作者に相談してみてはいかがでしょう。(もっと新しいinquirerを使えと)
投稿2021/01/10 12:23
総合スコア7247
あなたの回答
tips
プレビュー
