我在我的Node项目中使用gulp并且我使用gulp-nodemon运行nodemon,其中反过来需要一些依赖,这需要依赖等等。
我正在使用nsp对我的项目进行一些安全测试,并在我的依赖项括号扩展中发现了一个漏洞,解决方案是将我的包版本升级到1.1.7或更高版本:https://nodesecurity.io/advisories/338
依赖树是这样的:
↳ gulp-nodemon 2.2.1
↳ gulp 3.9.1
↳ vinyl-fs 0.3.14
↳ glob-stream 3.1.18
↳ glob 4.5.3
↳ minimatch 2.0.10
↳ brace-expansion 1.1.6
那么,我怎么解决这个问题的原因,我想我必须与链中涉及的所有人协调解决这个问题,其中一些是不活跃的。
是否有任何优雅的方法来解决链接依赖项所涉及的这些问题?