我的应用程序上的yarn.lock 文件中的js-yaml 存在高严重性的git hub 安全漏洞rails。
Remediation
Upgrade js-yaml to version 3.13.1 or later. For example:
js-yaml@^3.13.1:
version "3.13.1"
我已经运行yarn upgrade js-yaml它更新了我的 package.json 中的版本: "js-yaml": "^3.13.1",
然而这个问题仍然出现在github上。
我还尝试删除yarn.lock并运行yarn install以及使用重复数据删除工具yarn-deduplicate ./yarn.lock(该工具在其他情况下对我有用)。但是,它的古老性仍然存在。
这是 js-yaml 在我的yarn.lock 文件中的样子:
js-yaml@^3.12.0, js-yaml@^3.13.1:
version "3.13.1"
resolved "https://registry.yarnpkg.com/js-yaml/-/js-yaml-3.13.1.tgz#aff151b30bfdfa8e49e05da22e7415e9dfa37847"
integrity sha512-YfbcO7jXDdyj0DGxYVSlSeQNHbD7XPWvrVWeVUujrQEoZzWJIRrCPoyk6kL6IAjAG2IolMK4T0hNUe0HOUs5Jw==
dependencies:
argparse "^1.0.7"
esprima "^4.0.0"
js-yaml@~3.7.0:
version "3.7.0"
resolved "https://registry.yarnpkg.com/js-yaml/-/js-yaml-3.7.0.tgz#5c967ddd837a9bfdca5f2de84253abe8a1c03b80"
integrity sha1-XJZ93YN6m/3KXy3oQlOr6KHAO4A=
dependencies:
argparse "^1.0.7"
esprima "^2.6.0"
我想知道:
如何解决这个特定问题
保持yarn.lock 文件最新以避免安全漏洞的最佳实践是什么。看来我不是唯一一个遇到重复问题的人yarn upgrade(例如https://github.com/yarnpkg/yarn/issues/3967),也许我可以做一些不同的事情?