警告 Lockfile 的“prismjs@1.24.0”条目不正确。忽略它

Question

我继承了 prismjs 的一个问题，每次添加/升级​​另一个包时我都必须删除/重新安装它。

我有一个 gocd 管道验证，每次我尝试使用dependabot 解决我的存储库中的安全漏洞时都会失败。

像这样……

dependabot 生成拉取请求

验证失败并出现错误“警告 Lockfile 的“prismjs@1.24.0”条目不正确。忽略它”

下拉master分支>手动升级包>删除/安装prismjs@1.24.0

生成新的 PR > 验证成功，一切正常。

与主人合并

冲洗并重复。

我看到的是，我的 yarn.lock 中有 2 个条目用于 prismjs，删除它只会删除 1.24.0 条目，如果我删除 1.24.0，验证仍然失败，因为它找不到 prismjs 1.24。 0.

prismjs@1.24.0:
版本“1.24.0”
解决了“https://registry.yarnpkg.com/prismjs/-/prismjs-1.24.0.tgz#0409c30068a6c52c89ef7f1089b3ca4de56be2ac” 完整性 sha512-SqV5GRsNqnzCL8k5dfAjCNhUrF3pR0A9lTDSCUZeh/LIshheXJEaP0hwLz2t4XHivd2J/v2HR+gRnigzeKe3cQ==

prismjs@^1.23.0, prismjs@^1.8.4, prismjs@~1.17.0:
版本“1.26.0”
解决了“https://registry.yarnpkg.com/prismjs/-/prismjs-1.26.0.tgz#16881b594828bb6b45296083a8cbab46b0accd47” 完整性 sha512-HUoH9C5Z3jKkl3UunCyiD5jwk0+Hz0fIgQ2nbwU2Oo/ceuTAQAg+pPVnfdt2TJWRVLcxKh9iuoYDUSc8clb5UQ==

package.json:
“依赖”：{
"逗号分隔标记": "^1.0.0",
"椭圆": "^6.0.0",
"车把": "^4.1.2",
"http-proxy": "^1.17.0",
"https-proxy-agent": "^2.2.1",
“沉浸”：“9.0.6”，
"ini": "^1.3.5",
"lodash": "^4.5.1",
"markdown-to-jsx": "^6.9.1",
“合并深度”：“^3.0.2”，
“嵌套对象分配”：“1.0.4”，
“解析头”：“^2.0.0”，
“prismjs”：“1.24.0”，
"空格分隔标记": "^1.0.0",
"ssri": "^6.0.1",
“焦油”：“4.4.19”，
“杀树”：“^1.1.0”，
"ua-parser-js": "^0.7.9",
“网址解析”：“^1.4.3”，
"websocket-extensions": ">=0.1.1",
"y18n": "^4.0.0",
“yargs 解析器”：“^13.1.1”
},
“决议”：{
"prismjs": "^1.23.0",
"property-expr": "^2.0.3"

我对这个版本控制的工作方式相对较新，就像我说我继承了这个问题一样，所以除了我在 github 上看到的内容之外，我并没有真正的历史。

任何帮助将不胜感激。

Answer 1

通过运行yarn why prismjs，它将解释您的项目以外的哪些包依赖于prismjs。

我不确定您是否还有其他依赖 prismjs 的软件包来解释这些其他条目。似乎有些依赖项被提升到了我身上。如果你有一个 monorepo 设置或使用嵌套包，那可以解释它。

根据Yarn docs，也许还有有用的信息

如果您的分辨率版本或范围与原始版本范围不兼容，您将收到警告。

嵌套包可能无法正常工作。