使用yarn/npm配置resolutions按需下载版本依赖包

已于 2022-02-25 17:49:41 修改
阅读量1.1w 收藏 8
点赞数 7
分类专栏: webpack 前端 文章标签: yarn 前端 javascript
于 2022-02-25 15:45:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxwtsh123/article/details/123134278
版权
本文介绍了在修复项目代码漏洞时遇到的依赖包版本升级挑战,特别是针对antv/g2中的子依赖d3-color。常规升级方法无效,因为antv/g2版本较低。解决方案包括通过升级g2或使用resolutions配置在package.json中指定d3-color版本。对于npm,需要额外的preinstall脚本配合。通过这些方法,可以成功升级子依赖到指定版本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、Yarn配置

  1. 最近在修复项目代码漏洞时,要求对使用的依赖包进行版本升级,其中包括一些子依赖包要求升级到对应版本的问题

其中关于antv/g2内携带的子依赖d3-color 当前版本为2.0.0,需升级到3.0.0

  1. 一般思维,可能是直接升级d3-color,如终端执行yarn upgrade package@version,但是是不起作用的,它的最上层antv/g2为低版本,内部板顶d3-color为低版本,此时若需升级d3-color,可要么通过升级g2位最新版本来间接性升级子依赖包(事实证明,并非所有的依赖可采用,d3-color即不适用,而Echarts的子依赖包ZRender适用),要么就通过resolutions来进行配置定版本升级子依赖

  2. resolutions配置
    package.json文件内,与dependencies平级后,添加配置

  "resolutions": {
   
    "d3-color":
最低0.47元/天 解锁文章
网络安全:(一)web前端安全-npmyarn修复依赖漏洞问题的最佳实践
mmc123125的博客
10-15 2524
在现代前端开发中,安全性越来越受到重视。随着应用的复杂性增加,前端代码中可能存在多种安全漏洞,如 XSS、CSRF 和不安全的依赖库等。本文将讨论如何识别和修复这些常见的前端漏洞问题,并提供 npmYarn 两种不同的修复方式。
yarn 强制孙依赖的版本
anshaobiao6449的博客
08-19 1791
今天博主遇到一个棘手的问题,@vue/cli-service 依赖了一个包 portfiner@^1.0.20,但是 2 天前,这个包更新到了1.0.22,带来了一些问题。 博主第一反应就是想 yarn add portfinder@1.0.21,看看yarn可不可以复用这个版本。 但是结果却是 1.0.21 和 1.0.22 都装上了,而且 @vue/cli-service 还是依...
npm-force-resolutions:强制npm安装特定的传递依赖项版本
05-14
NPM部队决议 该软件包修改package-lock.json,以强制安装特定版本的传递依赖关系(依赖关系的依赖关系),类似于yarn的,但不必迁移到yarn。 警告开始之前 这种情况的用例是存在安全漏洞,并且您必须更新嵌套的依赖项,否则您的项目将很容易受到攻击。 但这只能用作最后一个资源,您应该首先更新顶级依赖关系,并为他们提出一个问题以更新易受攻击的子依赖关系( npm ls <vulnerable>可以帮助您解决此问题)。 如何使用 首先,将要修复的依赖项版本的字段resolutions添加到package.json ,例如: " resolutions " : { " hoek " : " 4.2.1 " } 然后将npm-force-resolutions添加到预安装脚本中,以便在您每次npm install之前修补package-lock文件:
yarn 使用 resolutions 解决版本依赖固化以及依赖的依赖版本不一致问题
qq_28586119的博客
02-28 3729
yarn 使用 resultions 解决嵌套依赖问题
使用 Yarn 安装依赖的完整指南
最新发布
zru_9602的博客
03-08 1326
Yarn 是 Facebook 开发的一款 JavaScript 包管理工具,旨在提高依赖管理的速度、安全性和一致性。yarn.lock。
yarn-resolutions:基于 yarn 自动收集依赖冲突,可视化给出 resolutions 建议,以此得到产物减小的收益
05-06
yarn-resolutions 基于 yarn 自动收集依赖冲突,可视化给出 resolutions 建议,以此得到产物减小的收益 version: 1.0.4 为什么要使用 yarn resolutions ? 安装 yarn global add yarn-resolutions 使用 在项目根目录执行: yarn-resolutions 即可得到可视化分析结果(): 分析 通常来说我们在意的是某依赖被打入了几份,他们的版本号是什么,在可视化报告中,你可以得到这些信息。 在经过谨慎评估选择依赖的版本后,将 resolutions 建议复制到 package.json 中,之后执行 yarn 重新安装依赖即可解决版本冲突,得到收益。 选项 Usage: yarn-resolutions [options] Options: -m, --mode [mode] filt
nodejs前端项目 如何显式指定某个依赖的版本 resolutions 字段 + npm-force-resolutions 插件 package-lock.json
wuyujin1997的博客
02-18 4931
对于直接依赖(node install xxx直接安装、并写入package.json中的依赖),可以修改其版本号。这一步出现了问题,要修改一些依赖包(也包括深层依赖,即依赖的依赖)的版本,指定到系统认为安全的版本。这类问题,如果是Java后端+Maven管理依赖的场景下,可以在。只限定主版本号,次版本号和修订版本号可升级。,这个文件里列出的是当时具体的依赖层次和版本。字段内容的方式,来自己指定某些依赖的版本了。文件来强行限制那些传递依赖(依赖的依赖)的。而那些要限制版本号的依赖,你可以列在。
推荐开源项目:`npm-force-resolutions`
gitblog_00053的博客
04-16 876
推荐开源项目:npm-force-resolutions 去发现同类优质开源项目:https://gitcode.com/ 在这个数字化时代,前端开发人员经常面临的一个挑战是依赖项管理。尤其是当项目中要特定版本的库以保持一致性和稳定性时, 这个项目提供了一个解决方案。 项目简介 npm-force-resolutions 是一个用于 npm 的插件,它允许你在执行 install 命令时强制指定...
yarn-resolutions:自动化解决依赖冲突提升构建效益
之后,只执行yarn安装命令,即可按照配置resolutions解决版本冲突。 从描述中我们还可以了解到,yarn-resolutions还具备命令行选项,通过这些选项可以对工具进行配置,从而实现更为精细化的控制。 在【标签】...
yarn 通过 resolutions,指定子孙依赖包版本号,解决froala-editor 版本问题
拿回忆下酒
02-22 744
使用resolutions指定子孙依赖包版本
package.json中的resolutions作用
qq_43592064的博客
08-22 1万+
package.json中的resolutions作用
Spark依赖包加载顺序和冲突解决方案
freeRoad
05-31 9946
Spark 依赖包来源 我们知道Spark application运行加载依赖有三个地方: SystemClasspath -- Spark安装时候提供的依赖包 Spark-submit --jars 提交的依赖包 Spark-submit --config "spark.{driver/executor}.extraClassPath=someJar"提交的依赖包 Spark...
npm install 错误 ERESOLVE unable to resolve dependency tree
会飞的程序猿
07-15 607
此系列是node报错问题,解决总结
打包&编译 yarn
qq_42063793的博客
03-14 1622
例如在项目中导入import qaxd from '@atsfe/qaxd,如果没有安装则会提示安装,安装成功后将会在node_modules里集成,如果包被在dependencies里引入,则在生产环境中会有编译后的qaxd源码,供项目使用。此时,导入的qaxd包实际上是导入了import qaxd from '@atsfe/qaxd/lib/index.js',其中lib/index.js为qaxd包导出的。请求指定服务器上的资源,例如利用nrm ls查看当前的源,install的则是当前源下的资源;
如何使用VSCode插件codesight扫描出前端项目的风险依赖包并借助 npm-force-resolutions 修复之?blackduck issue fix
wuyujin1997的博客
02-19 534
从此之后,前端项目依赖包有风险,再也不用直接手动改。
无法识别依赖属性_Node.js 中的依赖管理
weixin_39762001的博客
11-26 380
在我看来,nodejs 的成功原因除了它采用了前端 js 相同的语法,直接吸引了一大波前端开发者作为初始用户之外,它内置的包管理器 npm 也居功至伟。npm 能够很好的管理 nodejs 项目的依赖,也使得开发者发布自己的包变的异常容易。这样一来,不论你使用别人的包,还是自己发布包给别人使用,成本都不大。这和我大学学习的 Java 1.x 相比就轻松愉快的多(现在 Java 已今非昔比,我不敢乱...
Yarn互斥版本控制:精细管理项目依赖的艺术
2401_85439108的博客
07-03 788
Yarn的特性允许在文件中指定某些包的确切版本,从而解决版本冲突问题。
前端包管理工具 yarn要知道的
你这个小猪的博客
01-12 2712
前端包管理工具 yarn 的介绍
报错:npm WARN ERESOLVE overriding peer dependency
热门推荐
星辰迷上大海的博客
03-20 1万+
这个警告通常意味着您的项目中存在不同模块之间的依赖冲突。这可能会导致一些模块无法正常工作或版本不匹配的问题。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

骑上我心爱的小摩托

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值