问题描述
尝试安装开发依赖项,但其依赖项之一是 lodash: 4.17.20
。当 Snyk 扫描我的依赖项时,它会将这个依赖项标记为高安全漏洞。
我们如何让这个开发依赖尝试为开发依赖解析不同版本的 lodash
并通过 Snyk 测试?
我认为在 yarn.lock
文件中,它需要为这个开发依赖项解析更高版本的 lodash
,所以我提到了 https://classic.yarnpkg.com/en/docs/selective-version-resolutions/
在我的package.json
中做点什么
"resolutions": {
"**/lodash": "^4.17.20"
}
或
"resolutions": {
"<that dev dependency>/lodash": "^4.17.20"
}
似乎还没有完全奏效,而且 Yarn.lock 还没有更新该开发依赖项的 lodash
依赖项。想看看这是否可以在不手动更新 yarn.lock
的情况下实现,因为我可能会看到它在未来被重新覆盖。这是在 Lerna monorepo 中完成的。
解决方法
来自 Snyk 团队的更新,截至 04/05/21,他们没有 Lerna 的 monorepo 支持