基于其余的答案，我提供了相同的解决方案，但是我显示了包。json，因为我有点纠结于在哪里放置覆盖以及如何放置。

{
  "name": "my-app",
  "version": "snapshot",
  "scripts": {
    "ng": "ng",
    "build-dev": "ng build --configuration development",
  },
  "private": true,
  "dependencies": {
    "@angular/animations": "~14.2.9",
    "@angular/common": "~14.2.9"
    ...
  },
  "devDependencies": {
    "@angular-devkit/build-angular": "^14.2.8",
    ....
  },
  "overrides": {  
    "loader-utils@>2.0.0 <3": "2.0.4",
    "loader-utils@>3.0.0 <4": "3.2.1"
  }
}

对于2022年11月的“loader-utils”安全漏洞，已被要求

如果您在2中，请使用2.0.4版本。X 如果您是3版本，请使用3.2.1版本。X

为了验证

添加包。Json覆盖标签 删除package-lock.json 执行"npm install" 执行“npm audit”

你可以使用npm shrinkwrap功能，以覆盖任何依赖项或子依赖项。

我刚在我们的一个小项目里做过这个。从2.7.3开始，我们需要一个更新的connect版本。给我们带来了麻烦。所以我创建了一个名为npm-shrinkwrap.json的文件:

{
  "dependencies": {
    "grunt-contrib-connect": {
      "version": "0.3.0",
      "from": "grunt-contrib-connect@0.3.0",
      "dependencies": {
        "connect": {
          "version": "2.8.1",
          "from": "connect@~2.7.3"
        }
      }
    }
  }
}

NPM应该在为项目安装时自动拾取它。

(参见:https://nodejs.org/en/blog/npm/managing-node-js-dependencies-with-shrinkwrap/)

@user11153的答案在本地为我工作，但当试图做一个干净的安装(也就是删除node_modules)，我会得到:

npm-force-resolutions: command not found

我必须更新预安装脚本为:

"preinstall": "npm i npm-force-resolutions && npm-force-resolutions"

这确保在试图运行npm-force-resolutions包之前安装了它。

也就是说，如果你可以用纱线代替，我会这样做，然后使用@Gus的答案。

对于使用纱线的人。

我尝试使用npm收缩膜，直到我发现纱线cli忽略了我的npm收缩膜。json文件。

Yarn有https://yarnpkg.com/lang/en/docs/selective-version-resolutions/。整洁。

看看这个答案:https://stackoverflow.com/a/41082766/3051080

唯一适合我的解决方案(节点12。npm 6.x)使用了@Rogerio Chaves开发的npm-force-resolution。

首先，通过以下方法安装:

npm install npm-force-resolutions --save-dev

如果某些损坏的传递依赖脚本阻止您安装任何东西，您可以添加——ignore-scripts。

然后是包装。Json定义什么依赖应该被覆盖(你必须设置准确的版本号):

"resolutions": {
  "your-dependency-name": "1.23.4"
}

在“脚本”部分添加新的preinstall条目:

"preinstall": "npm-force-resolutions",

现在，npm install将应用更改，并强制your- dependencies -name为所有依赖项的1.23.4版本。

先运行这个

npm i -D @types/eslint@8.4.3

这将解决问题