Dependency-Updates und npm audit
Backend-Dependencies werden im Backend-Image über backend/package-lock.json installiert.
Frontend-Dependencies werden im Frontend-Build-Image über package-lock.json installiert. Der fertige Frontend-Container ist ein Nginx-Container und enthält kein npm.
Prisma
Prisma Studio kommt aus dem Backend-Paket prisma. Für Prisma-Updates sollten prisma, @prisma/client und @prisma/adapter-pg gemeinsam auf derselben Major-/Minor-Linie gehalten werden.
npm audit
npm audit fix --force nicht blind ausführen. npm kann dabei Major-Downgrades oder inkompatible Paketwechsel vorschlagen.
Bei Audit-Funden:
- im Docker-Kontext prüfen
package.jsonundpackage-lock.jsonkontrolliert aktualisieren- Backend-Tests ausführen
- Image-Build laufen lassen
Ein Teil der aktuellen npm-Warnungen kommt aus der Steam-Library-Kette steamcommunity / steam-tradeoffer-manager und betrifft transitive Pakete wie request, har-validator, uuid@3 und lodash.pick. Solange die aktuellen Upstream-Versionen diese Pakete weiter verwenden, lassen sich diese Warnungen nicht durch ein normales Lockfile-Update entfernen.