如何解决如何解决 Yarn.lock 中开发依赖项的特定依赖项
尝试安装开发依赖项,但其依赖项之一是 lodash: 4.17.20
。当 Snyk 扫描我的依赖项时,它会将这个依赖项标记为高安全漏洞。
我们如何让这个开发依赖尝试为开发依赖解析不同版本的 lodash
并通过 Snyk 测试?
我认为在 yarn.lock
文件中,它需要为这个开发依赖项解析更高版本的 lodash
,所以我提到了 https://classic.yarnpkg.com/en/docs/selective-version-resolutions/
在我的package.json
中做点什么
"resolutions": {
"**/lodash": "^4.17.20"
}
或
"resolutions": {
"<that dev dependency>/lodash": "^4.17.20"
}
似乎还没有完全奏效,而且 Yarn.lock 还没有更新该开发依赖项的 lodash
依赖项。想看看这是否可以在不手动更新 yarn.lock
的情况下实现,因为我可能会看到它在未来被重新覆盖。这是在 Lerna monorepo 中完成的。
解决方法
来自 Snyk 团队的更新,截至 04/05/21,他们没有 Lerna 的 monorepo 支持
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。