使用yarn/npm配置resolutions按需下载版本依赖包

已于 2022-02-25 17:49:41 修改
阅读量9.9k 收藏 7
点赞数 7
分类专栏: webpack 前端 文章标签: yarn 前端 javascript
于 2022-02-25 15:45:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxwtsh123/article/details/123134278
版权

一、Yarn配置

  1. 最近在修复项目代码漏洞时,要求对使用的依赖包进行版本升级,其中包括一些子依赖包要求升级到对应版本的问题

其中关于antv/g2内携带的子依赖d3-color 当前版本为2.0.0,需升级到3.0.0

  1. 一般思维,可能是直接升级d3-color,如终端执行yarn upgrade package@version,但是是不起作用的,它的最上层antv/g2为低版本,内部板顶d3-color为低版本,此时若需升级d3-color,可要么通过升级g2位最新版本来间接性升级子依赖包(事实证明,并非所有的依赖可采用,d3-color即不适用,而Echarts的子依赖包ZRender适用),要么就通过resolutions来进行配置定版本升级子依赖

  2. resolutions配置
    package.json文件内,与dependencies平级后,添加配置

  "resolutions": {
    "d3-color": "3.0.0"
},

删除yarn.lock,重新yarn install即可解决升级问题
在这里插入图片描述

二、Npm配置

npm的配置与yarn雷同
package.json文件内,与dependencies平级后,添加配置

  "resolutions": {
    "d3-color": "3.0.0"
},

然后package.json文件内,在scripts内新增一行,添加配置"preinstall": "npx force-resolutions"
保存好后,删除package-lock.json文件,执行npm install,再执行npm run preinstall,至此问题解决

骑上我心爱的小摩托
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
npm-force-resolutions:强制npm安装特定的传递依赖版本
05-14
NPM部队决议 该软件修改package-lock.json,以强制安装特定版本的传递依赖关系(依赖关系的依赖关系),类似于yarn的,但不必迁移到yarn。 警告开始之前 这种情况的用例是存在安全漏洞,并且您必须更新嵌套的依赖项,否则您的项目将很容易受到攻击。 但这只能用作最后一个资源,您应该首先更新顶级依赖关系,并为他们提出一个问题以更新易受攻击的子依赖关系( npm ls <vulnerable>可以帮助您解决此问题)。 如何使用 首先,将要修复的依赖版本的字段resolutions添加到package.json ,例如: " resolutions " : { " hoek " : " 4.2.1 " } 然后将npm-force-resolutions添加到预安装脚本中,以便在您每次npm install之前修补package-lock文件:
yarn-resolutions:基于 yarn 自动收集依赖冲突,可视化给出 resolutions 建议,以此得到产物减小的收益
05-06
yarn-resolutions 基于 yarn 自动收集依赖冲突,可视化给出 resolutions 建议,以此得到产物减小的收益 version: 1.0.4 为什么要使用 yarn resolutions ? 安装 yarn global add yarn-resolutions 使用 在项目根目录执行: yarn-resolutions 即可得到可视化分析结果(): 分析 通常来说我们在意的是某依赖被打入了几份,他们的版本号是什么,在可视化报告中,你可以得到这些信息。 在经过谨慎评估选择依赖版本后,将 resolutions 建议复制到 package.json 中,之后执行 yarn 重新安装依赖即可解决版本冲突,得到收益。 选项 Usage: yarn-resolutions [options] Options: -m, --mode [mode] filt
配置package.json 文件里的 resolutions 按下载依赖版本
H_carrot的博客
08-26 1万+
配置package.json 文件里的 resolutions 按下载依赖版本
Error: Timeout trying to fetch resolutions from npm
wuyujin1997的博客
02-19 1250
所以我觉得这个问题是网络连接速度慢/与服务器连接不稳定导致的。因为之前我用的淘宝提供的镜像源。,换成华为云的就可以了。配置,在一台机器上执行。
package.json中的resolutions作用
最新发布
qq_43592064的博客
08-22 4698
package.json中的resolutions作用
版本npm共存问题
TwInkle
06-10 2181
项目中多版本npm共存问题
nodejs前端项目 如何显式指定某个依赖版本 resolutions 字段 + npm-force-resolutions 插件 package-lock.json
wuyujin1997的博客
02-18 3078
对于直接依赖(node install xxx直接安装、并写入package.json中的依赖),可以修改其版本号。这一步出现了问题,要修改一些依赖(也括深层依赖,即依赖依赖)的版本,指定到系统认为安全的版本。这类问题,如果是Java后端+Maven管理依赖的场景下,可以在。只限定主版本号,次版本号和修订版本号可升级。,这个文件里列出的是当时具体的依赖层次和版本。字段内容的方式,来自己指定某些依赖版本了。文件来强行限制那些传递依赖(依赖依赖)的。而那些要限制版本号的依赖,你可以列在。
无法识别依赖属性_Node.js 中的依赖管理
weixin_39762001的博客
11-26 317
在我看来,nodejs 的成功原因除了它采用了前端 js 相同的语法,直接吸引了一大波前端开发者作为初始用户之外,它内置的管理器 npm 也居功至伟。npm 能够很好的管理 nodejs 项目的依赖,也使得开发者发布自己的变的异常容易。这样一来,不论你使用别人的,还是自己发布给别人使用,成本都不大。这和我大学学习的 Java 1.x 相比就轻松愉快的多(现在 Java 已今非昔比,我不敢乱...
yarn 使用 resolutions 解决版本依赖固化以及依赖依赖版本不一致问题
qq_28586119的博客
02-28 2574
yarn 使用 resultions 解决嵌套依赖问题
npm报错处理
逆袭的菜鸟X
10-20 5890
1、报错信息如下 ERROR: node_modules/@types/node/assert.d.ts(2,68): error TS1144: '{' or ';' expected. node_modules/@types/node/assert.d.ts(31,68): error TS1144: '{' or ';' expected. node_modules/@types/node/assert.d.ts(40,94): error TS1144: '{' or ';' expected. n
JS新管理工具yarnnpm的对比与使用入门
01-21
这一点很重要,npm 饱受诟病的一点就是,每次安装依赖,都要从网络下载一大堆东西,而且是全部重新下载,工程多的时候比较烦人。 我司部署node项目,是要在发布机上install所有的依赖而且发布机的网络环境不是很...
jiaminghi/data-view dataV for vite vue2 补丁 for npm/yarn
04-13
官网直接安装的不支持vite2/3+vue2的 主要修复: 1.build或者dev项目时不报错,兼容vite2/vite3,vue2...npm下也可以通过patch-package库自行定制补丁,下载npm install时就不用手动复制了,大家可以自己研究下的。
yarnnpm的命令行小结
10-21
想必最近大家对新的JavaScript管理工具yarn已经有所耳闻,并已通过npm i -g yarn进行了安装,现在想知道怎么样使用吗?如果你了解 npm,你已经会很大一部分啦!下面是这篇文章从npm切换到yarn的一些笔记。有要的...
package.json中的依赖重写版本(按下载指定版本依赖
weixin_50338974的博客
07-06 549
比如项目中用到了 @nuxtjs/axios 的依赖,@nuxtjs/axios 中使用了axios,现在要把axios升级到0.26.0的版本,首先想到的肯定是直接升级@nuxtjs/axios,但是最新版本5.13.6的@nuxtjs/axios用的还是0.21.1的axios。yarn 支持选择性版本解析,package.json 文件里的 resolutions 字段用于解析选择性版本。最近公司很多项目都在跑开源漏洞扫描,很多依赖要升级版本,但是部分依赖是其他依赖依赖
cnpm install 安装依赖出现 Install fail! Error: EBUSY: resource busy or locked, symlink...问题
归归li的博客
06-03 1万+
cnpm install 安装依赖出现 Install fail! Error: EBUSY: resource busy or locked, symlink…问题 今天练习vue-cli的时候,碰到了这个问题,恰巧来告诉大家怎么解决,下面看图,运行cnpm install指令报错了。 现在项目是放在桌面上的,执行cnpm install 指令的时候报错,我们把项目放入其他盘试试(不要放在,桌面...
Spark依赖加载顺序和冲突解决方案
freeRoad
05-31 8887
Spark 依赖来源 我们知道Spark application运行加载依赖有三个地方: SystemClasspath -- Spark安装时候提供的依赖 Spark-submit --jars 提交的依赖 Spark-submit --config "spark.{driver/executor}.extraClassPath=someJar"提交的依赖 Spark...
项目中 npm 报错集合
smart_dream
07-10 5795
解决方案 npm uninstall webpack-dev-server npm install [email protected] npm run dev
修改依赖下的子依赖版本前端项目安全扫描出来的漏洞——解决过程
为写出赏心悦目、容易维护的代码而探索
06-12 4194
然后我去网上找webpack3升级5的文章,跟着文章一步一步操作看行不行,坑太多了,这项目是很多年前的项目,很多配置都没注释,跟着网上的文章项目运行不起来,不知道哪里出了问题,这样下去时间成本太高,我决定要使用之前被我否定的强行修改子依赖的方案,兜兜转转还是得这招,虽然最后会留下7-8个必须要升级大依赖版本才能解决的漏洞,但这已经达到我们项目组的预期了。每次我们都是直接忽略,实际这些组件漏洞大部分都是——可能会导致项目被攻击后运行缓慢这种无关紧要的‘假漏洞’,存在矫枉过正的意思。
Duplicate keys detected: '1'. This may cause an update error. vue报错
热门推荐
SHALLNY
09-08 3万+
1.报错信息 错误信息展示为关键字‘keys‘,此时应该检查for循环中的key,循环的key值不为唯一性 &lt;van-cell v-for="(item,index) in list" :key="item"&gt; {{item}} &lt;/van-cell&gt; 此时应将item改为index,则不再报错了...
使用yarn安装npm
08-18
抱歉,我可能理解错了你的问题。但是,让我来帮助你解决问题。 首先,请确保你已经安装了Node.js和npm。然后,按照以下步骤使用yarn安装npm依赖项: 1. 打开终端或命令提示符。 2. 确保你已经在项目的根目录下。 3. 运行以下命令安装yarn(如果你已经安装了yarn,可以跳过这一步): ``` npm install -g yarn ``` 4. 然后,在终端或命令提示符中运行以下命令安装npm依赖项: ``` yarn install ``` 这将读取项目中的`package.json`文件,并安装所有列出的依赖项。 这样,你就可以使用yarn安装npm依赖项了。如果你有任何其他问题,请随时问我!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

骑上我心爱的小摩托

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值