纱线删除旧包(有安全漏洞)?
Yarn remove old package (that has security vulnerability)?
您好,我是 yarn(和 React.js 的新手),但我正在用它维护一个系统。
最近我收到来自 NIST(通过 GitHub)的 security alert 一个包 set-value,版本 2.0.0,需要更新
所以我使用这个命令更新了它:
$ yarn add set-value@2.0.1
但在那之后,我看到yarn.lock仍然引用了2.0.0,有这样一行
set-value@2.0.1, set-value@^2.0.0:
我认为这没问题,但被证明是错误的——因为一天后我仍然收到来自 GitHub 的另一条安全警报
然后我又尝试了一次升级,这次是3.0.1
$ yarn upgrade set-value@3.0.1
现在我仍然在 yarn.lock 中看到对 2.0.0 的引用,其中一行:
set-value@^2.0.0
然后我尝试了这些
$ yarn remove set-value
$ yarn add set-value
但是上面提到的关于set-value@^2.0.0的那行还在yarn.lock
不知道这样好不好GitHub(要等一天才能看到结果)。你怎么看?
尝试删除 yarn.lock 文件并重新安装依赖项。
yarn install --check-files
yarn.lock 是在 yarn install 上自动生成的,应该将 set-value 更新为版本 2.0.1
希望这对您有所帮助,编码愉快!!!
您好,我是 yarn(和 React.js 的新手),但我正在用它维护一个系统。
最近我收到来自 NIST(通过 GitHub)的 security alert 一个包 set-value,版本 2.0.0,需要更新
所以我使用这个命令更新了它:
$ yarn add set-value@2.0.1
但在那之后,我看到yarn.lock仍然引用了2.0.0,有这样一行
set-value@2.0.1, set-value@^2.0.0:
我认为这没问题,但被证明是错误的——因为一天后我仍然收到来自 GitHub 的另一条安全警报
然后我又尝试了一次升级,这次是3.0.1
$ yarn upgrade set-value@3.0.1
现在我仍然在 yarn.lock 中看到对 2.0.0 的引用,其中一行:
set-value@^2.0.0
然后我尝试了这些
$ yarn remove set-value
$ yarn add set-value
但是上面提到的关于set-value@^2.0.0的那行还在yarn.lock
不知道这样好不好GitHub(要等一天才能看到结果)。你怎么看?
尝试删除 yarn.lock 文件并重新安装依赖项。
yarn install --check-files
yarn.lock 是在 yarn install 上自动生成的,应该将 set-value 更新为版本 2.0.1
希望这对您有所帮助,编码愉快!!!