在 github 上的 Dependabot 警报后升级特定包纱线锁

Posted

技术标签:

【中文标题】在 github 上的 Dependabot 警报后升级特定包纱线锁【英文标题】:upgrade specific package yarn lock after Dependabot alert on github 【发布时间】:2020-10-14 16:33:55 【问题描述】:

我在 github 上有这个错误:

我没有找到任何解决方案。我是否必须在 yarn.lock 包中手动更新 Logkitty 的版本,然后提交并推送?还是存在升级特定包的命令?

为什么这个错误出现在 yarn.lock 而不是 package.json?

谢谢。

【问题讨论】:

【参考方案1】:

此错误出现在 yarn.lock 而不是 package.json 中,因为 logkitty 不是您项目的直接依赖项,而是您的 package.json 依赖项之一的依赖项。

你可以合并拉取请求。

【讨论】:

以上是关于在 github 上的 Dependabot 警报后升级特定包纱线锁的主要内容,如果未能解决你的问题,请参考以下文章

警报安全 Github - 修复 yarn.lock/package-lock.json 漏洞的正确方法是啥

是啥导致了这个dependabot问题?

dependabot 只更新锁文件

sh merge-dependabot-pr.sh

AWS Cloudwatch 上的警报设置

如何在 Android 上实现通过另一个屏幕上的操作关闭的警报?