Проблема с уязвимостями npm
Я уже ничего не понимаю, проекта еще нет, даже когда я пишу любую команду через npm в тот же самый cmd он выдает какие-то уязвимости (vulnerabilities), исправить нельзя даже через аудит, пишешь npm audit fix, выдает тот же текст, где написано, что у вас 5 уязвимостей
Ответы (1 шт):
Менеджер пакетов NPM строит дерево зависимостей библиотек друг от друга и проверяет каждую библиотеку из списка на предмет зафиксированных уязвимостей. Если он находит такие, он выдает предупреждение и надо по хорошему обновить библиотеки до свежей версии, где уязвимости были исправлены.
Как минимум отсюда две проблемы:
Некоторые библиотеки имеют строгую зависимость и просто не дадут обновить дочернюю библиотеку до актуального состояния. Можно ждать, пока разработчики это исправят. Либо попробовать npm audit fix --force для принудительного обновления, но надо быть внимательным (что-то может отвалиться или аудит сделает еще хуже).
Не все библиотеки живые и активно разрабатываются, некоторые могут быть заброшены, поэтому обновления можно никогда не дождаться. Но не все уязвимости страшные, к примеру замедление сборки при использовании эмодзи тоже уязвимость, читайте их описание и имейте ввиду.
В общем случае вариант, что не всегда возможно иметь чистую сборку без ошибок уязвимости, имеет место быть.