幾天前我收到了來(lái)自github的郵件,內(nèi)容如下:
他說(shuō)我所使用的依賴minimist版本太低,存在安全問(wèn)題,需要對(duì)其進(jìn)行升級(jí),可是我根本沒有安裝此依賴,我想到也許會(huì)有朋友遇到類似的問(wèn)題,所以我將自己的解決思路寫下來(lái),希望可以幫助到一部分人。

遇到事情不要慌,我們冷靜思考一下,首先進(jìn)入他注明的文件內(nèi) promise/package-lock.json, 然后ctrl+f全局搜索一番,發(fā)現(xiàn)他真的存在,而且版本很低為0.0.8。由于搜索結(jié)果有多個(gè),我們繼續(xù)往下翻閱↓

然后發(fā)現(xiàn)了一點(diǎn)貓膩,mkdirp需要這個(gè),然而mkdirp也不是我主動(dòng)下載的,那繼續(xù)按照這個(gè)思路全局搜索mkdirp。

最后我找到了原罪,mocha!那接下來(lái)就要開始升級(jí)之旅了!進(jìn)入github的mocha主頁(yè)。并且進(jìn)入他的package-lock.json文件, 全局搜索mkdirp:https://github.com/mochajs/mocha/blob/master/package-lock.json

最后在第9條找到了我期待的信息,mocha、mkdirp和minimist果然也收到了來(lái)自github的郵件,并且都對(duì)此進(jìn)行了升級(jí)。那我就很幸福了,只需要將自己倉(cāng)庫(kù)的mocha升級(jí)就萬(wàn)事大吉了!

升級(jí)mocha
刷新一下本地倉(cāng)庫(kù),然后就可以看到所以內(nèi)容都已升級(jí)成功,重新運(yùn)行一下測(cè)試用例,所以用例通過(guò)后就可以提交倉(cāng)庫(kù)代碼到github上啦!

完成!
以上來(lái)自我的語(yǔ)雀原文:https://www.yuque.com/u548790/evuqwg/kaucpo?