besoin d'une fonction de résolution épinglée du fil, mais souhaitez également auditer avec npm audit ? Existe-t-il une alternative de fil à npm audit ? Ou, alternativement, l'épinglage des résolutions des dépendances des dépendances fonctionnera-t-il en npm ?
Réponses
Trop de publicités?
Vasiliy Vanchuk
Points
4288
Sanmati Kumar Jain
Points
81
Oui, vous pouvez utiliser yarn audit à la vérification de la vulnérabilité, mais vous ne pouvez pas corriger les Vulnérabilités à l'aide d' yarn audit fix que vous pouvez faire dans npm audit fix.
Pour corriger les Failles en yarn.lock le fichier vous devez réinstaller le paquet(qui est chargé de la Vulnérabilité) à sa version plus récente en utilisant yarn add package_name
vous pouvez lire ici, le problème => https://github.com/yarnpkg/yarn/issues/7075
Je pense que ce n'est pas prêt sur le fil. Vous pouvez vous référer au problème suivant. https://github.com/yarnpkg/yarn/issues/5808
Thiago Valentim
Points
40
Vous pouvez utiliser yarn audit comme mentionné dans les autres réponses, cependant, il est une autre façon de les résoudre...
Vous aurez besoin d'ajouter de l' resolution d'instruction pour spécifier la version de la bibliothèque que le vunerability a été résolu et le chemin de la dépendance (parce que la bibliothèque peut être une dépendance d'une autre dépendance, par exemple:
Compte tenu de certains colis.json ci-dessous
{
"name": "project",
"version": "1.0.0",
"dependencies": {
"left-pad": "1.0.0",
"c": "file:../c-1",
"d2": "file:../d2-1"
},
"resolutions": {
"d2/left-pad": "1.1.1",
"c/**/left-pad": "^1.1.2"
}
}
Plus de détails peuvent être contrôlés directement dans la documentation: Doc
