我继承了prismjs的一个问题,每次添加/升级另一个包时,我都必须删除/重新安装它。
我有一个gocd管道验证,每次我尝试使用dependenabot来解决我的回购上的安全漏洞时都会失败。
事情是这样的。。。。
dependenabot生成拉取请求
验证失败并出现错误";警告锁定文件有不正确的";prismjs@1.24.0&";。忽略它">
下拉主分支>手动升级包>删除/安装prismjs@1.24.0
生成新的PR>验证成功,一切正常。
与主合并
冲洗并重复。
我看到的是,我的yarn.lock中有两个条目用于prismjs,删除它只会删除1.24.0条目and,如果我删除1.24.0,验证仍然失败,因为它找不到prismjs1.24.0。
prismjs@1.24.0:
版本"1.24.0〃
已解决"https://registry.yarnpkg.com/prismjs/-/prismjs-1.24.0.tgz#0409c30068a6c52c89ef7f1089b3ca4de56be2ac"完整性sha512-SqV5GRsNqnzCL8k5dfAjCNhUrF3pR0A9lTDSCUZeh/LIshheXJEaP0hwLz2t4XHivd2J/v2HR+gRnigzeKe3cQ==
prismjs@^1.23.0,prismjs@^1.8.4,prismJ@~1.117.0:
版本;1.26.0〃
已解决"https://registry.yarnpkg.com/prismjs/-/prismjs-1.26.0.tgz#16881b594828bb6b45296083a8cbab46b0accd47"完整性sha512-HUoH9C5Z3jKkl3UunCyiD5jwk0+Hz0fIgQ2nbwU2Oo/ceuTAQAg+pPVnfdt2TJWRVLcxKh9iuoYDUSc8clb5UQ==
package.json:
"依赖关系":{
"逗号分隔的令牌"9.0.6",
"ini":"^1.3.5",
"lodash":"^ 4.5.1",
"markdown到jsx":"6.9.1">
"合并深度":"3.0.2〃
"嵌套对象分配":"1.0.4">
"解析标题":"2.0.0">
"prismjs":"1.24.0〃
"空格分隔的标记":"1.0.0">
"ssri":"6.0.1〃
"焦油":"4.4.19">
"树杀":"1.1.0">
"ua解析器js":"0.7.9〃
"url解析":"1.4.3">
"websocket扩展":"gt=0.1.1〃
"y18n":"4.0.0〃
"yargs解析器":"13.1.1">
}、
"决议":{
"prismjs":"^1.23.0",
"属性expr":"^ 2.0.3">
>
我对这个版本控制的工作方式还比较陌生,就像我说的那样,我继承了这个问题,所以除了在github中看到的之外,我没有真正的历史。
如有任何帮助,我们将不胜感激。
通过运行yarn why prismjs,它将解释除项目之外的哪些包依赖于prismjs。
我不确定您是否有其他包依赖于prismjs来解释这些其他条目。似乎有些依赖关系被我吊起来了。如果你有一个单回购设置或使用嵌套包,这可以解释它。
根据Yarn docs 的说法,也许还有有用的信息
如果您的分辨率版本或范围与原始版本范围不兼容,您将收到警告。
嵌套的程序包可能无法正常工作。