Как перепроверить взаимную совместимость версий всех NPM-пакетов?

Question

[SashaGray]

Скажем, ввожу я команду npm i -D pug pug-loader
Устанавливается pug-loader 2.4.0 и pug 2.0.4.
Есть предупреждение, что эта версия pug уязвима, надо бы обновить до версии 3.
Но в pug-loader прописана зависимость от pug именно версии 2.
Пофиг, всё равно сносим старый pug и ставим версию 3.0.2.
Вроде всё компилируется, ошибок о несовместимости нет.

Но в дальнейшем ведь могут возникнуть какие-то проблемы, и вдруг в этот package.json буду смотреть уже не я, а кто-то другой, как ему узнать, что предыдущий разработчик обновил pug несмотря на то, что pug-loader зависит от pug версии 2? Есть ли какая-то команда на этот случай, чтобы перепроверить совместимость версий всех пакетов текущего проекта?

Comments

[WapSter]

Если npm говорит, что пакет уязвим по факту может быть не так.

[SashaGray]

WapSter, вопрос не об этом.

[WapSter]

SashaGray, твой ответ git

[SashaGray]

WapSter,

твой ответ git

нет, это не мой ответ, это твой ответ, и он тупой. Я спрашивал про команду в npm, которая сама выполнит сверку.

[WapSter]

SashaGray,

как ему узнать, что предыдущий разработчик обновил pug несмотря на то, что pug-loader зависит от pug версии 2?

я не думаю, что npm пишет, кто и что заменял. Научись задавать корректные вопросы.

npm ls

[SashaGray]

учись читать до конца

Есть ли какая-то команда на этот случай, чтобы перепроверить совместимость версий всех пакетов текущего проекта?

WapSter,

я не думаю, что npm пишет, кто и что заменял

Ему не надо ничего писать. Нужно залезть в реестр npm, считать зависимости установленных пакетов и сверить их версии с установленными в проекте. Примерно так же, как npx howfat делает при построении дерева пакетов и их зависимостей, разве что только не делает их сверку.