如何解决 Yarn.lock 中开发依赖项的特定依赖项

【问题标题】:How to resolve specific dependency of a dev dependency in a Yarn.lock如何解决 Yarn.lock 中开发依赖项的特定依赖项
【发布时间】:2021-06-24 22:28:24
【问题描述】:

尝试安装 dev 依赖项,但其中一个依赖项是 lodash: 4.17.20。当 Snyk 扫描我的依赖项时,它会将这个依赖项标记为高安全漏洞。

我们如何让这个开发依赖项尝试为开发依赖项解析不同版本的 lodash 并通过 Snyk 测试?

考虑到在yarn.lock 文件中,它需要为这个开发依赖解析更高版本的lodash,所以我提到了https://classic.yarnpkg.com/en/docs/selective-version-resolutions/

在我的package.json 中做某事

  "resolutions": {
    "**/lodash": "^4.17.20"
  }

或者

  "resolutions": {
    "<that dev dependency>/lodash": "^4.17.20"
  }

似乎它还没有完全起作用,并且 Yarn.lock 还没有更新该开发依赖项的 lodash 依赖项。想看看这是否可能在不手动更新yarn.lock 的情况下,因为我可以看到它在未来被重新覆盖。这是在 Lerna monorepo 中完成的。

【问题讨论】:

    标签: npm yarnpkg lerna snyk


    【解决方案1】:

    来自 Snyk 团队的更新,截至 21 年 4 月 5 日,他们不支持 Lerna 的 monorepo

    【讨论】:

      猜你喜欢
      • 2016-07-18
      • 2019-11-13
      • 2016-06-19
      • 1970-01-01
      • 2014-04-14
      • 1970-01-01
      • 1970-01-01
      • 2013-01-24
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode