我有一个 nextjs 应用程序,它有“next”:“^10.2.0”。它又将 shell-quote 作为传递依赖项,并且安装在 1.7.2 中的版本具有一些严重的安全漏洞。我现在必须修复这个问题,shell-quote 版本 1.7.3 没有这些漏洞。所以我添加了这个
"preinstall": "npx npm-force-resolutions"
和
"resolutions": {
"shell-quote": ">=1.7.3"
}
在 package.json 中。
但它仍然给我错误,当我检查 npm ls shell-quote 时,我看到了
├─┬ @storybook/react@6.4.9
│ └─┬ react-dev-utils@11.0.4
│ └── shell-quote@1.7.2
└─┬ next@10.2.3
└─┬ @next/react-dev-overlay@10.2.3
└── shell-quote@1.7.2 deduped
这是否意味着 next@10.2.3 不能有 1.7.2 的 shell 引用?这个问题现在可以在没有 nextjs 升级的情况下解决吗?