[解決済み] package-lock.json に記載されていない脆弱な npm パッケージを修正するにはどうしたらいいですか？

質問

Githubは、私のpackage-lock.jsonファイル内の依存関係が脆弱で古いものであると教えてくれます。問題は、もし私が npm install または npm update のどちらを使っても、package-lock.json ファイルの依存関係は更新されません。

これについてはいろいろとググってみたり、ファイルを削除して npm install .

誰かがこれを解決するのを助けることができるならば、私は非常に感謝します。問題のパッケージは Hoek で、実際には私の package.json ファイルにありません。

事前に多くの感謝を。

どのように解決するのですか？

Hoek は依存関係のあるパッケージの一つであるようです（つまり、あなたの package.json にあるパッケージが、それ自身の package.json からそれを要求している）。

プロジェクトの依存関係の削除/再インストールと更新をすでに試しましたが成功しませんでした。したがって、問題のパッケージ依存関係には、明示的または最大バージョンが指定されているようです。

各依存関係の package.json を見なければ、強制的に更新する方法についてさらに助言することは困難です。

編集してください。 どのパッケージがどの依存関係を使用しているかを識別するために、NPMの ls コマンドを使うことができます。 https://docs.npmjs.com/cli/ls

例えば、どのパッケージが Hoek を使っているかを見るには、以下のようにします。 npm ls hoek

2を編集します。 Ulysse BNが正しく指摘しているように、NPMのバージョンが6以降なら npm audit fix を使って、NPMに脆弱性の修正を依頼することができます。

3を編集します。 これを読んでいる人は、以下のJBallinの回答もチェックすべきです。それは私がここで与えた情報を拡大し、OP の質問によりよく対応する、より構造化された回答だと (私は) 考えています。しかし、もしあなたが迅速な修正を望むなら、この回答で十分でしょう。