问题描述
嗨,有dependabot警报
react-bootstrap-table-next@4.0.3 requires underscore@1.9.1 The earliest fixed version is 1.12.1 - Dependabot alert
为了解决这个问题,在 package.json 添加了 underscore: 1.12.1,但问题没有解决,因为 package.lock.json 仍然显示
"react-bootstrap-table-next": {
"version": "4.0.3","resolved": "https://registry.npmjs.org/react-bootstrap-table-next/-/react-bootstrap-table-next-4.0.3.tgz","integrity": "sha512-uKxC73qUdUfusRf2uzDfMiF9LvTG5vuhTZa0lbAgHWsllLaKTsI0iHf1e4+c7gP71q8dFsp7StvkP65SxC1JRg==","requires": {
"classnames": "^2.2.5","react-transition-group": "^4.2.0","underscore": "1.9.1"
}
在我们无法更新另一个库 underscore 需要的库 ex react-bootstrap-table-next 并且我们无法更新 react-bootstrap-table-next 的情况下,如何修复这种依赖警报,因为 react-bootstrap-table-next 已经是我们无法更新的最新版本。
要不然我们就得等下一次react-bootstrap-table-next
解决方法
这是通用解决方案how-do-i-fix-a-vulnerable-npm-package-in-my-package-lock-json-that-isnt-listed
在这种情况下,当需要更新依赖包时,我们需要检查父包是否已经修复它,我们可以安装新的父包。
例如,在上面的情况下,underscore 需要 react-bootstrap-table-next,因此我们可以继续检查 react-bootstrap-table-next 是否已经修复了警报并更新 underscore 包(如果有)更新我们可以安装最新的 react-bootstrap-table-next 如果没有更新我们可以等待下一个版本的选择其他替代包