Dependabot 报告了 esbuild 的安全漏洞:
- 当前版本:0.21.5(存在安全漏洞)
- 修复版本:0.25.0+
由于@rslib/core 依赖的 esbuild 版本较旧,我们使用resolutions 强制更新传递依赖到安全版本。
在package.json 中添加了以下配置:
{"resolutions": {"esbuild":"^0.25.0" }}注意:我们选择使用resolutions 而不是pnpm.overrides,因为:
resolutions 是更通用的标准,被多个包管理器支持- Dependabot 对 pnpm 的 overrides 功能支持有限
- 避免了 "updating transitive dependencies" 的兼容性问题
在.github/dependabot.yml 中忽略 esbuild 的自动更新,因为我们手动管理:
ignore: -dependency-name:"esbuild"update-types:["version-update:semver-major", "version-update:semver-minor", "version-update:semver-patch"]
- ✅ esbuild 已更新到 0.25.5
- ✅ 构建正常工作
- ✅ 测试通过
- ✅ 安全漏洞已修复
当@rslib/core 更新其 esbuild 依赖到安全版本时,可以移除 resolutions 配置。
定期检查:
@rslib/core 的更新日志- esbuild 的安全公告
- 项目构建和测试状态