セキュリティ問題を引き起こしているノードモジュール階層の深いところにライブラリがあります。私はpackage.jsonでそのモジュールを直接参照していません。私が参照しているモジュールの1つが別のモジュールをロードしており、そのモジュールがこのモジュールをロードしています。したがって、これは依存関係ツリーの3番目の層です。私はnpm lsを使ってライブラリ依存ツリーを見つけることができます。 package.jsonを更新しようとしましたが、正しくはありません。間接参照されるノードモジュールのバージョンを更新するにはどうすればよいですか?
トップモジュールに触れることなくこの特定のモジュールのバージョンを更新するにはどうすればよいですか?シュリンクラップを使用する必要がありますか?
(あなたの質問に直接答えるために)あなたは自分自身ですべての依存関係を慎重に管理し、その構造をNPMの外に構築することができます。私はそれが嫌いです。依存関係管理のオーバーヘッドがあり、手作業で組み立てられたコンポーネントが一緒に動作することは保証されていません。しかし、「理論」ではうまくいく可能性があります。 FWIWシュリンクラップはサブ依存関係を全く助けないと思う。
私は(私は、これはあなたが尋ねたものではありません理解して - それはIMO最善のアプローチである)このコースをお勧めします:ライブラリ
をそれを参照タクシー:https://docs.npmjs.com/files/package.json
のgit + SSH://[email protected]:NPM/npm.git#v1.0.27
のgit + SSH://[email protected]:NPM/NPM#semver:^ 5.0
ののgit + https://[email protected]/npm/npm.git
のgit://github.com/npm/npm.git#v1.0.27