不好意思借软件工作版问一下，因为对 npm 不熟
最近这两天陆续有两个专案收到 GitHub 寄来的信
第一封是
Known high severity security vulnerability detected in
lodash.defaultsdeep < 4.6.1 defined in package-lock.json.
package-lock.json update suggested: lodash.defaultsdeep ~> 4.6.1.
第二封是
Known high severity security vulnerability detected in lodash < 4.17.13
defined in package-lock.json.
package-lock.json update suggested: lodash ~> 4.17.13.
我本身没有在使用 loadsh，应该是 npm 的相依套件有用 loadsh
然后查了一下是 loadsh 被发现有安全性漏洞?
请问这个问题是我要直接去修改 package-lock.json
还是要等我用的套件改完 loadsh 版本后我再去 package.json 升级使用的套件版本
重做 npm install (?) 再让它把相依的 loadsh 套件版本升上去 ?

等你用的套件修改

除非他有用特定版本，不然可以自己升级可以用 npm audit 检查

如果是 yarn 可以用 resolve 指定版本

谢谢，刚才查了一下应该还没更新