有时我会收到有关在我的 yarn.lock 文件中声明的存在安全问题的包的dependabot 警报。例如 tar@^6.1.0 最近给出了这个警告,
由于目录缓存中毒导致符号链接保护不足,导致任意文件创建/覆盖
我接受了来自dependabot 的拉取请求,它尽职尽责地将我的yarn.lock 中的版本升级到了6.1.5。
tar 包未在 package.json 中声明,但它是我在 package.json 中使用的包的依赖项。如果不直接在我的 package.json 文件中添加此包的更高版本,我将如何自己执行此操作?