npm
依赖项不会自动升级到更高的主要版本。因此,如果包 A
依赖于包 B
,其版本规范如下:
// A/package.js
dependencies: {
"B": "^2.1.3"
}
npm
将会为任何版本2.x.y保持B
最新,其中x >= 1且(y >= 3如果x == 1或y >= 0如果x > 1)。但是,如果安全修复发生在B
版本3.v.w中,则安全问题将保留在您的npm
存储库中。问题在于,为了能够使用版本3.v.w,您可能需要更新A
,因为2和3之间很可能存在重大更改(即函数名称更改或删除对某个属性的支持)。以下是react-idle-timer模块中的一些重大更改示例:迁移从v3到v4。版本4中有一些重大更改。
IdleTimer
。除非您非常擅长使用shouldComponentUpdate
,否则应避免使用IdleTimer
作为包装组件。startOnLoad
属性已更名为startOnMount
,以在React上下文中更有意义。activeAction
属性已更名为onActive
。idleAction
属性已更名为onIdle
。