pnpm-lock.yaml 里有高危依赖,但项目里根本没用到,要怎么处理?
我用 GitHub Dependabot 扫描项目,发现 pnpm-lock.yaml 里有个依赖被标成高危漏洞,但我在 package.json 里完全没装这个包,应该是某个子依赖带进来的。现在 CI 被卡住了,不知道该删 lock 文件重装,还是得手动干预?
试过 pnpm why 漏洞包名 看依赖树,确实是从一个深层依赖引入的。但我不确定直接删 node_modules 和 lock 文件会不会影响其他依赖版本,有没有更安全的办法?
- 2
回答
75浏览
为什么pnpm install后package.json里的依赖版本和lock文件不一致?
用pnpm安装依赖时发现奇怪的问题,我按照惯例在package.json里写了"axios": "^1.6.2",但执行pnpm install后,生成的pnpm-lock.yaml里显示axios版...
- 1
回答
13浏览
pnpm audit 报告高危漏洞但不知道怎么修复怎么办?
我用 pnpm 管理项目依赖,今天运行 pnpm audit 时发现好几个高危漏洞,但提示信息太模糊了,根本不知道该升级哪个包或者怎么处理。 比如它说某个间接依赖有原型污染问题,但我查了 packag...
- 2
回答
15浏览
pnpm audit 报告高危漏洞,但不知道怎么修复?
我用 pnpm 管理项目依赖,今天运行 pnpm audit 时提示有个高危漏洞,说是 axios 版本太低。但我明明在 package.json 里写的是 "axios": "^1.6.0",也重新...
- 2
回答
63浏览
Vue项目迁移到pnpm后第三方组件报错,依赖版本冲突怎么排查?
刚把Vue3项目从npm迁移到pnpm,安装依赖后运行时报错"Cannot read properties of undefined (reading 'map')"。这个错误出现在我用的第三方组件@...
- 2
回答
60浏览
子包依赖在父项目中无法识别,pnpm workspace配置哪里出问题了?
我在用pnpm workspace管理monorepo项目,子包里安装了@tailwindcss/forms,但父项目编译时一直报错找不到这个模块,搞了一下午没解决。结构是这样的: { "worksp...
- 2
回答
43浏览
为什么用yarn和pnpm分析的依赖树结构差异这么大?
最近在项目里同时用了yarn和pnpm管理依赖,发现用yarn为什么和pnpm store graph生成的依赖树完全不一样。比如lodash这个包,在yarn的树里显示嵌套了四层,但pnpm的输出里...
- 1
回答
7浏览
pnpm install 后依赖没装全是怎么回事?
我用 pnpm 装依赖,但有些包明明在 package.json 里,install 完却没出现在 node_modules 里,运行时报找不到模块。 比如我装了 lodash,但 import 的时...
- 1
回答
16浏览
pnpm 安装依赖后为什么有些包在 node_modules 里找不到?
我最近从 yarn 切到 pnpm,执行 pnpm install 后发现一些依赖比如 lodash 在 node_modules 里直接搜不到,但项目又能正常运行。这是不是 pnpm 的硬链接机制导...
- 2
回答
15浏览
pnpm 为什么分析依赖时显示的包和实际安装的不一致?
我用 pnpm 安装了一个包,但通过 pnpm why lodash 查看依赖关系时,发现它显示的版本和 node_modules 里实际链接的版本不一样,这是为啥? 我试过删掉 node_modul...
- 2
回答
18浏览
yarn.lock 里的依赖有安全漏洞,我该手动改它吗?
最近用 GitHub 的 Dependabot 扫描项目,发现 yarn.lock 里有几个底层依赖有中危漏洞。但这些包不是我直接装的,是被其他依赖带进来的。我试过删掉 node_modules 和 ...
update命令来更新那个子依赖的版本,而不是直接删 lock 文件。复制这个命令:
这会把有漏洞的包升级到最新安全版本(如果上游已经修复了的话)。depth 设大点确保能覆盖深层依赖。
如果上游还没修复,就只能等或者临时把这个包加到 package.json 的
resolutions里强制指定安全版本:删 lock 文件重装是最后手段,可能会引入其他依赖版本变化,容易踩坑。我上次这么干直接搞出 3 个新漏洞(苦笑