React更新更新过时的依赖项由CheckMarx标记

Question

在我的项目中，我有一些过时的依赖关系，这些依赖性已由 checkmarx 标记。

但是，标记的依赖项在react-scripts版本4.0.3中。例如，react-scripts中有标记的软件包，即ejs，immer，url-parse，<代码>调试等等。

可以单独升级这些软件包的最佳方法是什么？

Answer 1

我是CheckMarx的安全研究员Ravid。
请允许我解决您的问题。

解决此问题的最佳方法是将“ root”（在这种情况下在这种情况下）更新为最新版本。

一旦您将此软件包更新为其最新版本（5.0.1），及时依赖项（又称孩子）将相应地更新。
例如，React-Scripts使用React-dev-Utils使用浸入式的词，一旦将反应标记更新为最新版本，您会注意到它使用了最新版本的Immerer。

请注意，一个项目可能会使用同一软件包的一些不同版本。
例如，React-Scripts（最新）使用版本4.3.4（最新）以及2.69和3.27中的调试。

重要的是要记住，即使更新了“根”软件包后，可能仍会过时的“儿童”软件包，因为某些软件包仍在使用脆弱/过时的软件包版本。

一个例子是：

如您所见，React-Scripts（最新）使用WebPack-Dev-Server（最新）使用Portfinder（最新），该portfinder（最新）使用debug 3.2.7（不是最新的） ）
“问题”依赖于投资通过，该投资通过不使用最新版本的调试。

关于更新依赖项后的断点代码，CheckMarx具有一个引擎，该引擎将警告目前断开的方法，行和文件，此功能仅是内部的，但应尽快准备就绪