修复Yarn.lock中的vulnerability

July 21, 2021

在日常与 黑洞 NPM Package 打交道的过程中,我们可以使用Github Dependent Bot等工具,检测项目中的哪些依赖可能存在隐患,对应什么等级,如果是使用npm,可以通过npm audit fix尝试自动修复,但是Yarn只提供了yarn audit检测,并没有合适的fix方法。

yarn-audit-fix

通过这个第三方包,可以间接实现yarn audit fix,详细使用请看文档,最简单的情况可以直接:

npm_config_yes=true npx yarn-audit-fix

Can’t find patched version that satisfies [email protected]^3.1.0 in >=5.1.2

如果遇到类似的,无法跳版本升级的情况,可以通过下面的方式,强制跳版本更新,强烈建议更新后进行全面的测试。


Copyright © Arcto 2022, Built with Gatsby