yarn.lock 里的依赖有安全漏洞,删了重装就行吗?
我们项目最近用 GitHub 的 Dependabot 扫出几个高危漏洞,都是 yarn.lock 里锁定的旧版本依赖。我试过直接删掉 yarn.lock 然后重新 yarn install,但发现有些子依赖还是被锁在老版本,漏洞没消失。
是不是光删 lock 文件不够?需要手动在 package.json 里升级主依赖,或者用 yarn upgrade?搞不太清楚具体该怎么做才能彻底更新到安全版本。
- 1
回答
4浏览
yarn.lock 里的依赖有安全漏洞,我该删了重装吗?
最近用 GitHub 的 Dependabot 扫描项目,提示 yarn.lock 里好几个底层依赖有中高危漏洞。我试过删掉 node_modules 和 yarn.lock 重新 yarn inst...
- 2
回答
27浏览
yarn.lock 里的依赖有安全漏洞,我该手动改它吗?
最近用 GitHub 的 Dependabot 扫描项目,发现 yarn.lock 里有几个底层依赖有中危漏洞。但这些包不是我直接装的,是被其他依赖带进来的。我试过删掉 node_modules 和 ...
- 1
回答
64浏览
yarn.lock损坏后重建导致依赖版本变动怎么办?
在部署项目时发现yarn.lock文件损坏了,我删掉后重新运行yarn install,但新生成的yarn.lock里好多依赖版本都变了,这会不会引入安全漏洞? 之前用npm audit发现有个高危漏...
- 2
回答
57浏览
为什么用yarn和pnpm分析的依赖树结构差异这么大?
最近在项目里同时用了yarn和pnpm管理依赖,发现用yarn为什么和pnpm store graph生成的依赖树完全不一样。比如lodash这个包,在yarn的树里显示嵌套了四层,但pnpm的输出里...
- 2
回答
128浏览
yarn安装的依赖用npm start时报错找不到模块怎么办?
刚接手一个React项目,原作者用yarn安装了依赖,但我用npm start运行时提示"Module not found: Error: Can't resolve 'axios'"。项目里确实有a...
- 2
回答
28浏览
pnpm-lock.yaml 里有高危依赖,但项目里根本没用到,要怎么处理?
我用 GitHub Dependabot 扫描项目,发现 pnpm-lock.yaml 里有个依赖被标成高危漏洞,但我在 package.json 里完全没装这个包,应该是某个子依赖带进来的。现在 C...
- 1
回答
14浏览
Draft.js 如何在自定义块组件中获取当前 block 的文本内容?
我在用 Draft.js 做一个富文本编辑器,想给特定类型的 block(比如 'custom-block')渲染一个自定义组件。现在的问题是,我怎么在组件里拿到这个 block 对应的纯文本内容? ...
- 1
回答
17浏览
Verdaccio 搭建私有 npm 仓库后,yarn install 报 404 怎么办?
我用 Verdaccio 搭了个私有 npm 仓库,本地能 publish 成功,但其他同事用 yarn install 安装这个包时一直报 404,明明包在仓库里能看到。 我们 .yarnrc 配置...
- 1
回答
20浏览
Lighthouse 报 Total Blocking Time 过高怎么办?
我用 Lighthouse 测性能时,TBT(Total Blocking Time)总是超过 200ms,明明页面看起来挺快的,但分数被拉得很低。我试过把一些第三方脚本 defer 了,但没太大改善...
- 2
回答
31浏览
CSP 设置了 block-all-mixed-content 为啥 HTTPS 页面还是加载了 HTTP 资源?
我最近在项目里加了 CSP 头,设置了 Content-Security-Policy: block-all-mixed-content,但奇怪的是,页面在 HTTPS 下居然还能加载一个 HTTP ...
如果你 package.json 里写的是固定版本(比如 "axios": "^0.21.0" 或者 "0.21.0"),删了 yarn.lock 重新装,yarn 还是会按 package.json 的约束去装那个旧版本,lock 文件只是记录结果,不是源头。
正确的做法是:
第一步,先把 package.json 里那个有漏洞的主依赖版本改成更新的版本,或者直接用命令升级:
第二步,确认 package.json 里的版本已经更新了之后,再删掉 yarn.lock 重新安装:
这样出来的 lock 文件就是全新的安全版本了。
如果有些子依赖(间接依赖)还是老版本,那可能是主依赖本身还没更新到包含安全版本的子依赖,这种情况可以试试:
这个命令会强制把所有依赖都升级到 package.json 里声明的版本范围的最大版本。
实在不行还可以用 yarn-deduplicate 或者直接看 Dependabot 的 PR,它会告诉你具体该升级到哪个版本。
正确做法分几步:
1. 先用
yarn audit确认具体哪些包有问题2. 在package.json里把主依赖版本升级到安全版本范围,比如把
"lodash": "^4.17.15"改成"lodash": "^4.17.21"3. 跑
yarn upgrade或者yarn install --force强制重新解析依赖树4. 最后再跑
yarn audit确认漏洞修复如果是深层嵌套依赖的问题,可以用
yarn why 包名查是哪个父依赖拖了后腿。有时候得连父依赖一起升级才行,yarn的依赖解析就是这么让人头大。记得检查下CI/CD流程,很多团队漏了把
yarn audit加进构建流程,等漏洞报告发过来已经晚了。