尝试安装开发依赖项,但其依赖项之一是 lodash: 4.17.20。当 Snyk 扫描我的依赖项时,它会将这个依赖项标记为高安全漏洞。
我们如何让这个开发依赖尝试为开发依赖解析不同版本的 lodash 并通过 Snyk 测试?
我认为在 yarn.lock 文件中,它需要为这个开发依赖项解析更高版本的 lodash,所以我提到了 https://classic.yarnpkg.com/en/docs/selective-version-resolutions/
在我的package.json中做点什么
"resolutions": {
"**/lodash": "^4.17.20"
}
或
"resolutions": {
"<that dev dependency>/lodash": "^4.17.20"
}
似乎还没有完全奏效,而且 Yarn.lock 还没有更新该开发依赖项的 lodash 依赖项。想看看这是否可以在不手动更新 yarn.lock 的情况下实现,因为我可能会看到它在未来被重新覆盖。这是在 Lerna monorepo 中完成的。
答案 0 :(得分:0)
来自 Snyk 团队的更新,截至 04/05/21,他们没有 Lerna 的 monorepo 支持