【问题标题】:Should I accept automated PRs from dependabot that update yarn.lock?我应该接受来自dependabot 更新yarn.lock 的自动PR 吗?
【发布时间】:2020-02-12 03:58:15
【问题描述】:

在我工作的一个 JS 库中,我已经从“dependabot”获得了一些 PR,例如 this one

我知道他们正在尝试通过更新到更高版本的依赖项来提供帮助。但奇怪的是每个 PR 只更新 yarn.lock 中的依赖版本——这些不是我的库直接依赖的库。

接受这个有意义吗?我并没有真正认为 yarn.lock 文件本身就值得管理。

【问题讨论】:

    标签: javascript npm dependency-management yarnpkg pull-request


    【解决方案1】:

    子依赖也是依赖。如果子依赖项中存在可利用的漏洞,而该漏洞没有被引入它的依赖项隐藏或缓解,那么它可能同样会影响您的应用程序。

    关于你链接的具体PR,新版本中唯一提交explicitly states的作者可能会导致漏洞,甚至分配了CVE-2019-10746

    【讨论】:

      猜你喜欢
      • 2022-10-25
      • 1970-01-01
      • 2012-07-19
      • 2011-06-07
      • 1970-01-01
      • 2021-09-06
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多