正在尝试安装一个dev依赖项,但其中一个依赖项是lodash: 4.17.20。当Snyk扫描我的依赖项时,它会将此依赖项标记为高安全漏洞。
我们如何让这种开发依赖关系尝试为开发依赖关系解析不同版本的lodash并通过Snyk测试?
我认为在yarn.lock文件中,它需要为这个dev依赖项解析lodash的更高版本,所以我参考了https://classic.yarnpkg.com/en/docs/selective-version-resolutions/
在我的package.json中做一些类似的事情
"resolutions": {
"**/lodash": "^4.17.20"
}
或
"resolutions": {
"<that dev dependency>/lodash": "^4.17.20"
}
它似乎还没有完全起作用,而且Yarn.lock还没有更新该开发依赖项的lodash依赖项。我想看看这是否可以在不手动更新yarn.lock的情况下实现,因为我可以看到它在未来被重新覆盖。这是在Lerna单回购中完成的。
Snyk团队的最新消息,截至21年5月4日,他们没有Lerna的单回购支持