我的包传递地引用了minimatch版本3.0.4和5.0.1。据报道,版本3.0.4有一个漏洞。我想将最小匹配3.0.4的分辨率提高到3.0.6或3.0.7,但保留最小匹配5.0.1的分辨率。所以我最终会引用3.0.6和5.0.1。
是否有办法通过package。Json与纱线(1.22)?我看你能做到:
resolutions: {
"minimatch": "3.0.6"
}
但是这会将所有版本的minimatch重定向到3.0.6,而不仅仅是3.0.4。
看起来这是可能与较新版本的纱线(https://yarnpkg.com/cli/set/resolution),然而,我在纱线"经典"当这种支持被认为"过于先进"时,
虽然我不能指定我想要的,但我可以使用3.0.4找到确切的依赖链并在分辨率中指定。例如
"react-scripts/react-dev-utils/recursive-readdir/minimatch": "^3.0.5"
问题解决了。