问题场景 #

最近运行npm audit检查项目依赖时，发现3个间接依赖（未直接在package.json中声明）存在安全漏洞，工具提示可以通过npm audit fix修复，但执行该命令后，重新运行npm audit发现漏洞完全没有变化，数量也和之前一致。

具体涉及的依赖和漏洞情况如下：

• tar <6.2.1：中等严重程度，存在解析tar文件时因缺少文件夹数量验证导致的拒绝服务漏洞，提示可通过npm audit fix修复
• tmp <=0.2.3：存在通过符号链接dir参数任意写入临时文件/目录的漏洞，提示可通过npm audit fix修复
• undici <=5.28.5：高严重程度，包含CRLF注入、跨源重定向时Cookie未清除、SSRF、正则表达式拒绝服务等多个漏洞，提示可通过npm audit fix修复

我的环境版本：Node.js 22.15.0（Maintenance LTS）、npm 10.9.0

为什么npm audit fix没起作用？ #

核心原因是这些有漏洞的依赖都是间接依赖：
npm audit fix默认只会处理直接依赖的补丁版本升级（比如从1.2.3升到1.2.4），对于间接依赖，npm不会随意修改它们的版本——因为间接依赖是被你的直接依赖（package.json里声明的依赖）拉进来的，npm要遵守直接依赖的版本约束，避免破坏项目的兼容性。除非直接依赖的版本范围已经允许间接依赖升级到安全版本，否则npm audit fix无法自动修复。

可行的解决办法 #

1. 尝试强制修复命令

先试试带--force参数的修复命令，这个命令会允许npm修改直接依赖的版本（包括小版本升级），可能会间接把有漏洞的间接依赖升级到安全版本：

npm audit fix --force

⚠️ 注意：这个操作可能会改变直接依赖的版本，有引入兼容性问题的风险，执行完成后一定要测试项目的核心功能是否正常。

2. 依赖去重

有时候项目中存在重复的依赖版本，会导致npm audit报告残留漏洞，试试去重命令：

npm dedupe

执行后再重新运行npm audit检查漏洞是否消失。

3. 手动锁定间接依赖版本（最可控）

用npm 8+支持的overrides字段，在你的package.json中强制指定这些间接依赖的安全版本，这样不管直接依赖拉的是什么版本，都会被覆盖成你指定的安全版本：
在package.json中添加如下内容：

"overrides": {
  "tar": "^6.2.1",
  "tmp": "^0.2.4",
  "undici": "^5.28.6"
}

然后运行npm install，npm会自动把这些依赖升级到你指定的安全版本。
✅ 这个方法的优势是可控，你可以明确指定安全版本，但同样要注意测试项目兼容性——毕竟强制升级间接依赖可能和直接依赖的预期版本有冲突。

4. 更新对应的直接依赖

先找到到底是哪个直接依赖拉了这些有漏洞的间接依赖，用以下命令查看依赖树：

npm ls tar tmp undici

比如输出会显示类似your-direct-dep -> tar@6.1.1，这说明your-direct-dep这个直接依赖拉了旧版本的tar。
接下来去该直接依赖的仓库或npm官网看最新版本，把package.json中的这个直接依赖升级到最新版本，再运行npm install——如果直接依赖的新版本已经把间接依赖升级到安全版本了，漏洞自然就解决了。

最后提醒 #

操作前最好备份一下package.json和package-lock.json，如果出现兼容性问题可以快速回滚。另外你的Node.js和npm版本都是较新的LTS版本，本身没有问题，核心还是间接依赖的版本约束问题。