不好意思借軟體工作版問一下，因為對 npm 不熟
最近這兩天陸續有兩個專案收到 GitHub 寄來的信
第一封是
Known high severity security vulnerability detected in
lodash.defaultsdeep < 4.6.1 defined in package-lock.json.
package-lock.json update suggested: lodash.defaultsdeep ~> 4.6.1.
第二封是
Known high severity security vulnerability detected in lodash < 4.17.13
defined in package-lock.json.
package-lock.json update suggested: lodash ~> 4.17.13.
我本身沒有在使用 loadsh，應該是 npm 的相依套件有用 loadsh
然後查了一下是 loadsh 被發現有安全性漏洞?
請問這個問題是我要直接去修改 package-lock.json
還是要等我用的套件改完 loadsh 版本後我再去 package.json 升級使用的套件版本
重做 npm install (?) 再讓它把相依的 loadsh 套件版本升上去 ?

等你用的套件修改

除非他有用特定版本，不然可以自己升級可以用 npm audit 檢查

如果是 yarn 可以用 resolve 指定版本

謝謝，剛才查了一下應該還沒更新