尝试安装 dev 依赖项,但其依赖项之一是lodash: 4.17.20. 当 Snyk 扫描我的依赖项时,它会将这个依赖项标记为高安全漏洞。
我们如何才能让这个开发依赖项尝试解决开发依赖项的不同版本lodash并通过 Snyk 测试?
正在考虑在yarn.lock文件中,它需要以某种方式解决lodash此开发依赖项的更高版本,所以我参考了https://classic.yarnpkg.com/en/docs/selective-version-resolutions/
做我package.json喜欢的事
"resolutions": {
"**/lodash": "^4.17.20"
}
或者
"resolutions": {
"<that dev dependency>/lodash": "^4.17.20"
}
似乎它还没有完全起作用,并且 Yarn.lock 还没有更新该lodash开发依赖项的依赖项。想看看这是否可以在不yarn.lock手动更新的情况下进行,因为我可以看到它将来会被重新覆盖。这是在 Lerna monorepo 中完成的。