前端项目依赖包中的依赖包漏洞解决方案

一般情况下，如果是package.json文件中的依赖包出现漏洞，我们可以直接到最新版本或者指定版本即可。

还有一种情况就是依赖包中的子依赖包甚至更深层级的包存在漏洞，这个时候改最外层包的版本并不能解决这个问题。

以下方案可以实现强制升级子包依赖，代码供参考：

1、正常提交package-lock.json文件到代码库

2、在package.json文件中的scripts配置项添加如下命令：

"preinstall": "npx force-resolutions"

或

"preinstall": "npx npm-force-resolutions"

如果上述命令报错可使用以下命令：

"preinstall": "npm install --package-lock-only --ignore-scripts && npx npm-force-resolutions"

3、在package.json文件中的resolutions配置项中添加需要升级的依赖版本，比如unset-value的无漏洞版本 为2.0.1，那么我们可以配置如下：

"resolutions": {
    "unset-value": "2.0.1"
  }

4、本地执行npm i 后提交package-lock.json文件

整个package.json文件看起来应该像这样：

{
  "name": "xxx-web",
  "version": "0.1.0",
  "private": true,
  "scripts": {
    "start": "npm run serve",
    "serve": "vue-cli-service serve",
    "build": "vue-cli-service build",
    "lint": "vue-cli-service lint",
    "preinstall": "npx npm-force-resolutions",
  },
  "dependencies": {
    "axios": "0.24.0",
    "core-js": "3.19.1",
    "echarts": "5.2.1",
    ...
  },
  "devDependencies": {
    "@vue/cli-plugin-babel": "4.5.15",
    "@vue/cli-plugin-eslint": "4.5.15",
    "@vue/cli-plugin-router": "4.5.15",
    ...
  },
  "resolutions": {
    "unset-value": "2.0.1"
  }
}