我刚刚开始使用 Dependabot 并遇到了其中一个警报的问题。我一直在寻找如何处理此类漏洞的答案,但没有找到任何适当的资源。我可以看到它是我的 deps 的依赖项,因此它会影响 package-lock 文件。
以下是 Dependabot 提供的内容:
Dependabot cannot update glob-parent to a non-vulnerable version
The latest possible version that can be installed is 3.1.0 because of the following conflicting dependencies:
eslint@8.8.0 requires glob-parent@^6.0.1
postcss-mixins@6.2.3 requires glob-parent@^3.1.0 via a transitive dependency on fast-glob@2.2.7
The earliest fixed version is 5.1.2.
glob-parent我的文件中没有package.json- 它只是我的其他依赖项的依赖项。处理此类警报的态度是什么?我dismiss应该吗?据我所知,手动更改包锁不是要走的路。