Estoy tratando de crear una biblioteca "BOM" que otros proyectos puedan incluir, para que las dependencias se puedan administrar en un solo lugar.
La biblioteca BOM incluye varias bibliotecas y necesito anular algunas de sus dependencias para resolver CVE. Sin embargo, no puedo entender cómo hacer que esas anulaciones se propaguen a los repositorios configurando esta biblioteca BOM como una dependencia.
He intentado lo siguiente:
lista de materiales:
"dependencies": { "libraryA": "1.0" }, "resolutions": { "libraryB": "1.5" }
La ejecución correcta de yarn
en el repositorio de BOM no incluye la versión original de libraryB
, solo la versión de resolución.
Sin embargo, agregar BOM como una dependencia a un repositorio y ejecutar yarn
no lo hace , e instala la versión original de libraryB
especificada por libraryA
.
Si, en cambio, especifico la versión que quiero como una dependencia explícita:
lista de materiales:
"dependencies": { "libraryA": "1.0", "libraryB": "1.5" }
Luego, ambas versiones de libraryB
se incluyen en yarn.lock.
¿Cómo puedo obligar a mi repositorio a respetar las resoluciones especificadas en el repositorio BOM?