npm 审计修复没有改变任何东西

Question

我认为这是一个非常基本的问题，但我已经被困了一段时间：

我正在尝试使用npm audit fix来清理具有许多安全漏洞的旧存储库。 当我运行时，我看到我得到以下输出：

fixed 3534 of 3576 vulnerabilities in 1926 scanned packages
  42 vulnerabilities required manual review and could not be updated

但是，我看到 package-lock.json 中的任何内容都没有改变。 所以看起来审计实际上没有做任何事情？ 当我运行npm install我可以再次看到以下内容：

found 3576 vulnerabilities (3550 low, 10 moderate, 14 high, 2 critical)
  run `npm audit fix` to fix them, or `npm audit` for details

这是否意味着审计过程无法解决任何这些问题？ 如果是这样，我该如何解决这些问题？

Answer 1

是什么原因造成的：这似乎是npm一个已知错误，没有人（还）公开找出原因，至少我找不到。 但是，您可以看到它在当前npm问题跟踪器中的一个问题中报告，该问题链接到存档的npm问题跟踪器中的问题。

如何解决：当我在npm遇到这种行为时，我会这样做：

$ rm -rf node_modules package-lock.json shrinkwrap.json npm-shrinkwrap.json
$ npm install

但是，我不认为这一直有效。 但如果你还没有这样做，那就值得一试。 @Kshewengger建议更新npm也是一件值得尝试的好事情。 他们建议npm install -g npm并先尝试，但如果这不起作用，并且如果您不介意更新的package-lock.json文件格式和其他更改，您也可以尝试npm install -g npm@7 . 在撰写本文时， npm install -g npm会给你npm@6.14.9而npm install -g npm@7会给你npm@7.0.15 。

Answer 2

我认为这是一个非常基本的问题，但我已经坚持了一段时间：

我正在尝试使用npm audit fix来清理具有许多安全漏洞的旧存储库。 运行时，我看到以下输出：

fixed 3534 of 3576 vulnerabilities in 1926 scanned packages
  42 vulnerabilities required manual review and could not be updated

但是，我发现package-lock.json中的任何内容都没有更改。 因此，看来审核实际上没有做任何事情吗？ 当我运行npm install我可以再次看到以下内容：

found 3576 vulnerabilities (3550 low, 10 moderate, 14 high, 2 critical)
  run `npm audit fix` to fix them, or `npm audit` for details

这是否意味着审核过程无法解决任何这些问题？ 如果是这样，我该如何解决这些问题？