【转载】package.json单独升级子依赖的版本

原文： 选择性依赖项解决

package.json 文件里的 resolutions 字段用于解析选择性版本，可以通过此功能自定义依赖版本。 这通常需要手动编辑 yarn.lock 文件。

你为什么要这么做？

• 有些时候，项目会依赖一个不常更新的包，但这个包又依赖另一个需要立即升级的包。 这时候，如果这个（不常更新的）包的依赖列表里不包含需要升级的包的新版本，那就只能等待作者升级，没别的办法。

• 项目的子依赖（依赖的依赖）需要紧急安全更新，来不及等待直接依赖更新。

• 项目的直接依赖还可以正常工作但已经停止维护，这时子依赖需要更新。 同时，你清楚子依赖的更新不会影响现有系统，但是又不想通过 fork 的方式来升级直接依赖。

• 项目的直接依赖定义了过于宽泛的子依赖版本范围，恰巧这其中的某个版本有问题，这时你想要把子依赖限制在某些正常工作的版本范围里。

如何使用它？

在 package.json 文件里添加 resolutions 字段，用于覆盖版本定义：

package.json

{
  "name": "project",
  "version": "1.0.0",
  "dependencies": {
    "left-pad": "1.0.0",
    "c": "file:../c-1",
    "d2": "file:../d2-1"
  },
  "resolutions": {
    "d2/left-pad": "1.1.1",
    "c/**/left-pad": "1.1.2"
  }
}

之后执行 yarn install。

提示和技巧

• 如果定义了无效的版本解析规则，比如错写了无效的包名，会收到警告。
• 如果定义的版本解析的版本号、版本范围无效，也会收到警告。
• 如果定义的版本解析规则的版本号、版本范围与原始版本范围不兼容，同样会收到警告。

限制和警告

• 嵌套包机制（Nested packages）可能会挂。
• 这是一项新功能，因此会在某些极端情况下挂掉。