在将代码推送到git repo之后,npm审计修复所做的更改是否仍然有效?
我最近发现了npm audit特性,并运行该命令来查找我正在处理的一个项目中的漏洞。遇到了一堆(超过100个)。
npm建议运行npm audit fix将修复除具有破坏性更改的漏洞之外的所有漏洞。我在我的代码中没有遇到任何这样的漏洞,现在它显示0个漏洞。
我的问题是,当我将代码推送到github时,这些漏洞是否已经为克隆/派生此repo的人修复了?
对于上下文,node_modules在我的.gitignore文件中被忽略(这意味着它们不会随代码一起推送到github )。既然node_modules是应用这些“漏洞修复”的地方,那么它们是否对每个随后派生/克隆此存储库的人都有效?
如果是这样的话,是怎么做的?是不是跟package-lock.json有关?
如果不是,有没有办法让这些变化持久化?
回答 2
Stack Overflow用户
发布于 2018-06-28 02:38:22
是的,它与package-lock.json有关,read more about package-locks here根据目前的网站,包锁代表了你的node_modules文件夹的一个可复制的树。
Stack Overflow用户
发布于 2020-04-16 00:08:16
是的,npm audit fix所做的更改是持久的,但前提是您将package-lock.json文件提交到git存储库。
According to NPM,“此文件旨在提交到源代码库中。”
如果您将现有的package-lock.json文件提交到存储库,然后运行npm audit fix,您将看到本地package-lock.json文件的更改(假设npm audit能够修复任何易受攻击的包)。您可以查看这些更改,然后再次提交package-lock.json文件以保留这些更改。
https://stackoverflow.com/questions/50618249
复制相似问题
腾讯云开发者
