auto-package-lock

1. 项目 A 安装了依赖软件 B，B 项目内自己依赖了上游库 C。 2. 现 C 出现了 CVE 漏洞，社区发布了新版本修补了漏洞。 3. 但是 B 并未发布新版本引入 C 的无漏洞版本。 4. A 想要避免项目中出现 C 的漏洞，但无法简单通过`npm install C@4.0.7`命令安装指定版本，因为在 package.json 中 A 只与 B 有依赖关系。 5. 因此需要手动修改 A 项目中的 package-lock.json 文件

1.0.2
Source
npm

Version published: 3 years ago

Weekly downloads: 1

Maintainers: 1

Weekly downloads

Created: 3 years ago

Source

背景

项目 A 安装了依赖软件 B，B 项目内自己依赖了上游库 C。
现 C 出现了 CVE 漏洞，社区发布了新版本修补了漏洞。
但是 B 并未发布新版本引入 C 的无漏洞版本。
A 想要避免项目中出现 C 的漏洞，但无法简单通过npm install C@4.0.7命令安装指定版本，因为在 package.json 中 A 只与 B 有依赖关系。
因此需要手动修改 A 项目中的 package-lock.json 文件

用法

使用 npm 安装npm install -g auto-package-lock，或克隆项目（下载 release 包）到本地
使用 npx 运行工具npx auto-package-lock -p 目标项目路径 -m 指定的库名及版本
如果克隆项目本地，将 npx 后面的参数指向本地工具项目地址npx ./auto-package-lock

举例：

npx auto-package-lock -p ../demo2 -m deepmerge@4.2.2
npx auto-package-lock -p /e/projects/js/demo2 -m throttle-debounce@3.0.1

注意事项

npm 版本为 v6 及以下的项目，后续请务必使用npm install --no-save安装依赖。
npm 版本为 v7 及以上的项目，后续请使用npm install安装依赖

FAQs

What is auto-package-lock?

Is auto-package-lock popular?

Is auto-package-lock well maintained?

Package last updated on 13 Apr 2022

Did you know?

Socket for GitHub automatically highlights issues in each pull request and monitors the health of all your open source dependencies. Discover the contents of your packages and block harmful activity before you install or update your dependencies.

Install

auto-package-lock

背景

用法

注意事项

Related posts

Node.js Implements Stricter Policies for Semver-Major Pull Requests Ahead of Release Deadlines

Roblox Developers Targeted with npm Packages Infected with Skuld Infostealer and Blank Grabber