Ste*_*ett 5 javascript dependency-management npm pull-request yarnpkg
在我工作的一个 JS 库中,我从“dependabot”那里得到了一些 PR,比如这个。
我知道他们正试图通过更新到更高版本的依赖项来提供帮助。但奇怪的是每个 PR 只更新 yarn.lock 中依赖项的版本 - 这些不是我的库直接依赖的库。
接受这个有意义吗?我并没有真正认为 yarn.lock 文件本身就值得管理。
子依赖也是依赖。如果子依赖项中存在可利用的漏洞,并且拉入该子依赖项的依赖项没有隐藏或缓解该漏洞,那么它同样会影响您的应用程序。
关于您链接的具体 PR,新版本中唯一提交的作者明确指出它可能会导致漏洞,甚至分配了CVE-2019-10746。