javascript - Botkit hoek 漏洞
问题描述
我无法弄清楚如何更新 Botkit 中包含的依赖包。在下面的 package.json 上运行 npm install 之后。Npm 警告 hoek 包易受攻击。我试过运行npm audit fix
没有分辨率。当我运行npm ls hoek
它显示 botkit 已安装 hoek@2.16.3。我不明白为什么它会安装过时的版本。
//package.json
{
"name": "deleteme",
"version": "1.0.0",
"description": "",
"main": "index.js",
"scripts": {
"test": "echo \"Error: no test specified\" && exit 1"
},
"author": "",
"license": "ISC",
"dependencies": {
"botkit": "^0.6.16"
}
}
解决方案
从 npm 文档中:
从 npm@2.6.1 开始,npm 更新将只检查顶级包。以前版本的 npm 也会递归地检查所有依赖项。要获得旧行为,请使用 npm --depth 9999 update。
在此处查看更多详细信息:https ://docs.npmjs.com/cli/update