Почему не обновляются библиотеки через npm?

Question

[Vitaly]

На проекте nodejs давно не обновлялись библиотеки, начал это исправлять и возникла такая проблема.

Выполняю npm audit
Вижу, например, очень старую версию mongo:


Устанавливаю: npm i mongodb@latest
Установка прошла:

+ mongodb@4.1.0
updated 1 package and audited 1527 packages in 2.513s

Запускаю еще раз npm audit и вижу опять этот mongodb


Обновляю его глобально на всякий случай npm i mongodb@latest -g
Всё то же самое

npm audit fix выдаёт вот это:
mongodb в числе тех 9 пакетов, которые он не смог обновить

126 packages are looking for funding
  run `npm fund` for details

fixed 0 of 9 vulnerabilities in 1539 scanned packages
  9 vulnerabilities required manual review and could not be updated

Как в итоге обновить эти библиотеки в проекте?

UPD: вопрос снимается, проблема оказалась в устаревшей зависимости, которая используется в другой зависимости.

Comments

[Василий Банников]

ну например ручками поправить в package.json.
Возможно, какие-то другие зависимости зависят от старой версии mongodb

[Vitaly]

Василий Банников, после npm i в package.json версия библиотеки меняется на последнюю, как и должно быть. Но при повторном запуске npm audit считает, что у меня до сих пор старая версия.

[Василий Банников]

Виталий Соколов, а если удалить node_modules и lock?

[Vitaly]

Василий Банников, пробовал
UPD: вопрос снимается, проблема оказалась в устаревшей зависимости, которая используется в другой зависимости.

Answer 1

[abberati]

Хорошая статья, советую

Comments

[Vitaly]

Спасибо за статью. С ложно-положительными срабатываниями ясно, но я не понимаю, почему после установки пакета через npm install, npm audit не видит этих изменений. При этом в проекте в package.json версия обновлённой библиотеки меняется