Que fait exactement "npm audit fix" ?

Question

npm audit fix a pour but de mettre à jour automatiquement les paquets npm et de corriger les vulnérabilités qu'ils contiennent. Cependant, je n'ai pas trouvé ce qu'il fait exactement pour corriger ces vulnérabilités.

J'ai supposé que npm audit fix mettrait à jour les dépendances et les dépendances des dépendances vers les dernières versions autorisées par les semi-définitions des paquets - c'est en fait la même chose que rm package-lock.json; npm install . Cependant npm audit fix effectue encore de nombreuses modifications après la suppression du fichier de verrouillage et la réinstallation.

Qu'est-ce que la npm audit fix faire ? Installe-t-il par exemple des versions de dépendances plus récentes que celles autorisées par le système de gestion des dépendances correspondant ? package.json (mais toujours semi-compatible) ?

Answer 1

De NPM's sur leur commande d'audit :

npm audit fix gère une véritable npm install sous le capot

Et il semble qu'un correctif d'audit n'effectue par défaut que des mises à niveau compatibles avec la semvar. Cette question est mentionnée plus haut dans le document :

Faire en sorte que le correctif d'audit installe les mises à jour majeures de semver dans les dépendances de niveau supérieur, et pas seulement dans celles qui sont compatibles avec semver :

$ npm audit fix --force

Quant au fichier de verrouillage, il est régénéré chaque fois que vous exécutez une commande qui modifie les éléments suivants package.json . Vous trouverez plus d'informations à ce sujet dans une réponse aquí ainsi que dans le documentation officielle .