幾天前我收到了來(lái)自github的郵件，內(nèi)容如下：

他說(shuō)我所使用的依賴minimist版本太低，存在安全問(wèn)題，需要對(duì)其進(jìn)行升級(jí)，可是我根本沒有安裝此依賴，我想到也許會(huì)有朋友遇到類似的問(wèn)題，所以我將自己的解決思路寫下來(lái)，希望可以幫助到一部分人。

image.png

遇到事情不要慌，我們冷靜思考一下，首先進(jìn)入他注明的文件內(nèi) promise/package-lock.json, 然后ctrl+f全局搜索一番，發(fā)現(xiàn)他真的存在，而且版本很低為0.0.8。由于搜索結(jié)果有多個(gè)，我們繼續(xù)往下翻閱↓

image.png

然后發(fā)現(xiàn)了一點(diǎn)貓膩，mkdirp需要這個(gè)，然而mkdirp也不是我主動(dòng)下載的，那繼續(xù)按照這個(gè)思路全局搜索mkdirp。

image.png

最后我找到了原罪，mocha！那接下來(lái)就要開始升級(jí)之旅了！進(jìn)入github的mocha主頁(yè)。并且進(jìn)入他的package-lock.json文件, 全局搜索mkdirp：https://github.com/mochajs/mocha/blob/master/package-lock.json

image.png

最后在第9條找到了我期待的信息，mocha、mkdirp和minimist果然也收到了來(lái)自github的郵件，并且都對(duì)此進(jìn)行了升級(jí)。那我就很幸福了，只需要將自己倉(cāng)庫(kù)的mocha升級(jí)就萬(wàn)事大吉了！

image.png

升級(jí)mocha

刷新一下本地倉(cāng)庫(kù)，然后就可以看到所以內(nèi)容都已升級(jí)成功，重新運(yùn)行一下測(cè)試用例，所以用例通過(guò)后就可以提交倉(cāng)庫(kù)代碼到github上啦！

image.png

完成！

以上來(lái)自我的語(yǔ)雀原文：https://www.yuque.com/u548790/evuqwg/kaucpo?