Hallo,
wir verwenden für den VR Raum eine NPM - Umgebung.
in dem Verzeichnis
~/MyOOS/vr_shopping> habe ich mit
code . Visual Studio Code gestartet und im Terminal gab ich ein:
\MyOOS\vr_shopping>
npm init -y
es wurde die
package.json: erstellt.
Die
package.json: wurde für das Projekt angepasst.
Unser VR Raum wird mit
webpack später erstellt.
\MyOOS\vr_shopping>
npm install webpack webpack-cli --save-dev
D.h. wir bauen in einer Entwicklungsumgebung unser VR-Kaufhaus und werden dann mit
npm run build unsere JavaScripte für den Shop erzeugen.
Ich habe mit three.js installiert
\MyOOS\vr_shopping>
npm install three --save-dev
\MyOOS\vr_shopping>
npm install aframe --save-dev
Es kommt zu folgenden Hinweisen:
npm WARN skipping integrity check for git dependency ssh://git@github.com/dmarcos/three-buffer-vertex-data.git
npm WARN skipping integrity check for git dependency ssh://git@github.com/dmarcos/three-bmfont-text.git
8<-
Das sind Warnungen, die darauf hinweisen, dass npm die Integrität von Git-Abhängigkeiten nicht überprüfen kann, die direkt aus einem Repository installiert werden. Das bedeutet, dass npm nicht garantieren kann, dass der Code, den Sie herunterladen, mit dem übereinstimmt, was der Autor beabsichtigt hat. Dies kann ein Sicherheitsrisiko darstellen, wenn Sie nicht dem Autor oder dem Repository vertrauen. Um diese Warnungen zu vermeiden, können Sie entweder die Abhängigkeiten aus einer vertrauenswürdigen Quelle wie dem npm-Register installieren oder die Option `--no-verify` verwenden, um die Integritätsprüfung zu überspringen¹. Allerdings ist dies nicht empfohlen, da es die Sicherheit beeinträchtigen kann.
Quelle: Unterhaltung mit Bing, 31.7.2023
(1) [BUG] package-lock.json integrity value for git dependencies ... - GitHub.
https://github.com/npm/cli/issues/2846.
8<-
ich habe wie in meinem Blogbeitrag angekündigt
https://blog.r23.de/software/open-sourc ... e-projekt/
aframe-extras installiert
\MyOOS\vr_shopping>
npm install --save aframe-extras
aframe-blink-controls
\MyOOS\vr_shopping>
npm install aframe-blink-controls
man kommt Rückmeldungen. Hier eine Erklärung
npm ist ein Paketmanager für JavaScript, der es Ihnen ermöglicht, Module und Abhängigkeiten für Ihre Projekte zu installieren und zu verwalten. npm audit ist ein Befehl, der Ihre package.json-Datei analysiert und die Versionen Ihrer Abhängigkeiten mit einer Datenbank von bekannten Sicherheitslücken vergleicht. Wenn eine Schwachstelle gefunden wird, gibt npm audit Ihnen die Schwere der Schwachstelle und die Möglichkeit, sie zu beheben.
npm audit fix ist ein Befehl, der versucht, die unsicheren Abhängigkeiten Ihres Projekts automatisch zu aktualisieren. Allerdings macht er das nur für die Abhängigkeiten, die keine Probleme aufgrund von SEMVER-Regeln verursachen sollten. SEMVER steht für Semantic Versioning und ist ein Konventionssystem, das angibt, wie sich die Versionen von Paketen ändern. ²
Die Option --force ist eine gefährliche Option, weil sie die Abhängigkeiten unabhängig von allen Regeln aktualisiert. Das kann dazu führen, dass eine Abhängigkeit von Version 1.2.0 auf Version 2.3.0 springt, zum Beispiel. Das bedeutet, dass Funktionen, die Sie in Ihrem Projekt verwenden, möglicherweise nicht mehr existieren oder ein anderes Verhalten haben, was Ihr Projekt effektiv kaputt machen kann.
Um diese Frage zu beantworten: Sie müssen nichts machen, wenn Sie mit den aktuellen Versionen Ihrer Abhängigkeiten zufrieden sind und keine kritischen Sicherheitslücken haben. Wenn Sie jedoch alle Probleme (einschließlich derjenigen, die zu Kompatibilitätsproblemen führen können) beheben wollen, können Sie npm audit fix --force ausführen. Aber seien Sie vorsichtig und stellen Sie sicher, dass Sie wissen, was Sie tun und welche Auswirkungen es auf Ihr Projekt haben kann.
Beste Grüße
Ralf