angular - Angular 包和升级它们的依赖
问题描述
有时我会收到有关在我的 yarn.lock 文件中声明的存在安全问题的包的dependabot 警报。例如 tar@^6.1.0 最近给出了这个警告,
由于目录缓存中毒导致符号链接保护不足,导致任意文件创建/覆盖
我接受了来自dependabot 的拉取请求,它尽职尽责地将我的yarn.lock 中的版本升级到了6.1.5。
tar 包未在 package.json 中声明,但它是我在 package.json 中使用的包的依赖项。如果不直接在我的 package.json 文件中添加此包的更高版本,我将如何自己执行此操作?
解决方案
推荐阅读
- environment-variables - MULE - 应用程序属性、VM Args 和 env 变量的优先顺序
- java - Jackson Json 序列化:删除空白字符串
- java - 尽管 try-catch 出现异常错误并抛出异常尝试
- devops - 如何设置数据库镜像和故障转移?
- sms - 如何在 RingCentral 上创建自动短信机器人
- javascript - 从 Chrome 扩展执行跨源请求时的 XMLHTTPRequest 漏洞?
- mysql - mysql,最近 3 个月的数据,包括零
- java - 无法加载 ApplicationContext。无法创建集成测试
- javascript - 防止组件在经过身份验证后显示
- sql-server - 如何在sql server中创建动态列名