node.js - 如何将package-lock.json的dependencies与packages同级设置方法?
为了做安全漏洞扫描,我希望将package-lock.json里面的dependencies与packages是同级。预期效果如下:
{“name”:"test","version": "0.01","lockfileVersion": '2","requires": true,"packages": {},"dependencies": {}}我试过将package-lock.json文件删除,重新执行npm install,但依然不行。
node version:20.10.0
npm version:10.2.3
angular version:17.3.0
共有2个答案
不就是去掉行头空格么?.replace(/^\s+/g, '') 不就完了?
在npm中,package-lock.json文件的dependencies字段和packages字段是由npm自动管理和填充的,你无法直接手动修改它们的层级关系。当你运行npm install命令时,npm会根据package.json中的依赖信息生成或更新package-lock.json文件,包括dependencies和packages字段。
package-lock.json中的dependencies字段记录了项目的直接依赖项,而packages字段(如果存在)通常用于记录工作区(workspaces)中的包,这是npm 7引入的一个功能,允许你在一个根包下管理多个包,并在它们之间共享依赖项。
如果你想要进行安全漏洞扫描,通常的做法是直接分析package-lock.json文件,或者使用专门的工具来扫描项目的依赖项。这些工具通常能够读取package-lock.json文件,并检查其中的依赖项是否存在已知的安全漏洞。
如果你想要改变package-lock.json的结构,你可能需要寻找一种不同的方法来实现你的需求。例如,你可以考虑将依赖项信息存储在一个单独的JSON文件中,并在需要时读取该文件进行分析。但这并不是npm的推荐做法,并且可能会导致一些未预料到的问题。
总之,你不能直接修改package-lock.json中的dependencies和packages字段的层级关系,因为这是由npm自动管理的。如果你需要进行安全漏洞扫描,你应该使用专门的工具来分析package-lock.json文件。
-
我正在学习使用Node.js和express框架的后端。我通过添加了模块。几个小时后,我注意到我的项目不包含package.json文件。 我现在尝试添加测试命令来使用nodemon。比如。但是在package-lock.json文件中没有这样的部分。 我不想再从头开始。
-
npm@5已经发布,它有一个新的功能文件(在之后),这让我很困惑。我想知道,这个文件有什么效果?
-
所以,我有这个包裹,在package-lock.json里面: 该漏洞是:“大括号”:“^1.8.2”,当我运行npm audit时,它表示已修复为2.3。1,但我似乎无法更新它,或者只是不知道如何更新。 我尝试过的事情: npm安装micromatch和支架,然后进行npm审计修复 npm安装 从npm依赖关系中,可能有一些事情我不理解。那么我该如何解决这个问题呢? 为软件包编辑。json
-
问题内容: 要锁定项目上安装的依赖项的版本,该命令将创建一个名为的文件。这是从Node.js v8.0.0和npm v5.0.0开始的 ,您可能已经知道了。 尽管有Node.js和npm关于提交此文件的建议,但是关于何时应避免这样做的一些担忧也是一个选择。通常,我们致力于项目,但这是一个奇特的问题。 虽然我们默认情况下应该提交文件,但是我们有一个特定的情况,我们不应该提交。例如,如果我们要测试项目
-
我使用的是WebLogic10.3.6,我不能用给定的logback.xml为2个不同的追加器(com.my&root)控制不同的日志级别,我只希望文件追加器有跟踪级别,而在Weblogic终端下没有任何跟踪级别。问题是我在这两个方面得到相同的输出。