【发布时间】:2019-09-04 10:45:27
【问题描述】:
您好,我是 yarn(和 React.js)的新手,但我正在使用它维护一个系统。
最近我收到了来自 NIST(通过 GitHub)的 security alert 一个包 set-value,版本为 2.0.0,需要更新
所以我用这个命令更新了它:
$ yarn add set-value@2.0.1
但在那之后,我看到yarn.lock 仍然引用了2.0.0,有这样一行
set-value@2.0.1, set-value@^2.0.0:
我认为这没问题,但被证明是错误的——因为一天后我仍然收到了来自 GitHub 的另一个安全警报
然后我又试了一次升级,这次升级到3.0.1
$ yarn upgrade set-value@3.0.1
现在我仍然在yarn.lock 中看到对2.0.0 的引用,其中包含一行:
set-value@^2.0.0
然后我尝试了这些
$ yarn remove set-value
$ yarn add set-value
但是上面提到的关于set-value@^2.0.0的那行还在yarn.lock中
不知道这对 GitHub 好不好(要等一天才能看到结果)。你怎么看?
【问题讨论】:
-
您可以删除它将再次自动生成的锁定文件。您的 yarn.lock 文件是自动生成的,应完全由 Yarn 处理。当您使用 Yarn CLI 添加/升级/删除依赖项时,它会自动更新您的 yarn.lock 文件。