【转载】package.json单独升级子依赖的版本
原文: 选择性依赖项解决
package.json
文件里的 resolutions
字段用于解析选择性版本,可以通过此功能自定义依赖版本。 这通常需要手动编辑 yarn.lock
文件。
你为什么要这么做?
-
有些时候,项目会依赖一个不常更新的包,但这个包又依赖另一个需要立即升级的包。 这时候,如果这个(不常更新的)包的依赖列表里不包含需要升级的包的新版本,那就只能等待作者升级,没别的办法。
-
项目的子依赖(依赖的依赖)需要紧急安全更新,来不及等待直接依赖更新。
-
项目的直接依赖还可以正常工作但已经停止维护,这时子依赖需要更新。 同时,你清楚子依赖的更新不会影响现有系统,但是又不想通过 fork 的方式来升级直接依赖。
-
项目的直接依赖定义了过于宽泛的子依赖版本范围,恰巧这其中的某个版本有问题,这时你想要把子依赖限制在某些正常工作的版本范围里。
如何使用它?
在 package.json
文件里添加 resolutions
字段,用于覆盖版本定义:
package.json
{
"name": "project",
"version": "1.0.0",
"dependencies": {
"left-pad": "1.0.0",
"c": "file:../c-1",
"d2": "file:../d2-1"
},
"resolutions": {
"d2/left-pad": "1.1.1",
"c/**/left-pad": "1.1.2"
}
}
之后执行 yarn install
。
提示和技巧
- 如果定义了无效的版本解析规则,比如错写了无效的包名,会收到警告。
- 如果定义的版本解析的版本号、版本范围无效,也会收到警告。
- 如果定义的版本解析规则的版本号、版本范围与原始版本范围不兼容,同样会收到警告。
限制和警告
- 嵌套包机制(Nested packages)可能会挂。
- 这是一项新功能,因此会在某些极端情况下挂掉。