选择性依赖项解决

package.json 文件里的 resolutions 字段用于解析选择性版本,可以通过此功能自定义依赖版本。 这通常需要手动编辑 yarn.lock 文件。

你为什么要这么做?

  • 有些时候,项目会依赖一个不常更新的包,但这个包又依赖另一个需要立即升级的包。 这时候,如果这个(不常更新的)包的依赖列表里不包含需要升级的包的新版本,那就只能等待作者升级,没别的办法。

  • 项目的子依赖(依赖的依赖)需要紧急安全更新,来不及等待直接依赖更新。

  • 项目的直接依赖还可以正常工作但已经停止维护,这时子依赖需要更新。 同时,你清楚子依赖的更新不会影响现有系统,但是又不想通过 fork 的方式来升级直接依赖。

  • 项目的直接依赖定义了过于宽泛的子依赖版本范围,恰巧这其中的某个版本有问题,这时你想要把子依赖限制在某些正常工作的版本范围里。

如何使用它?

package.json 文件里添加 resolutions 字段,用于覆盖版本定义:

package.json

{
  "name": "project",
  "version": "1.0.0",
  "dependencies": {
    "left-pad": "1.0.0",
    "c": "file:../c-1",
    "d2": "file:../d2-1"
  },
  "resolutions": {
    "d2/left-pad": "1.1.1",
    "c/**/left-pad": "1.1.2"
  }
}

之后执行 yarn install

提示和技巧

  • 如果定义了无效的版本解析规则,比如错写了无效的包名,会收到警告。
  • 如果定义的版本解析的版本号、版本范围无效,也会收到警告。
  • 如果定义的版本解析规则的版本号、版本范围与原始版本范围不兼容,同样会收到警告。

限制和警告

  • 嵌套包机制(Nested packages)可能会挂。
  • 这是一项新功能,因此会在某些极端情况下挂掉。