Существует ли способ жестко зафиксировать зависимости в локфайле?
Последние события показывают, что под удар злоумышленников попадают и пользователи библиотек с открытым исходным кодом, то есть мы с вами.
Таким образом было принято решение зафиксировать все текущие версии библиотек в проектах, для избежания негативных последствий их обновлений.
Зафиксировать в нашем случае - избавиться от ^ и ~ в версиях package.json. Вот тут написано зачем вообще нужны эти символы
Зафиксировать зависимости в манифесте (package.json) можно легко в несколько шагов:
- Смотрим список текущих установленных версий пакетов командой
npm list --depth=0
- Далее согласно списку меняем манифест и генерируем локфайл заново с помощью
npm i
Но что делать с зависимостями самих пакетов в локфайле? Есть какой-то способ избежать их неявного обновления?
[email protected]:
version "0.26.1"
dependencies:
follow-redirects "^1.14.8"
^^^^^