yarnのresolutionsで全ての依存関係をコントロールするyarnでセキュリティパッチを確実に当てるためのアプローチ yarnでauditを実行しアドバイザリーレポートに報告された脆弱性のあるパッケージを更新しようとしていたのですが、直接依存しているパッケージでのバージョンアップはともかく依存するパッケージが依存しているパッケージ、そのまたさらに依存するパッケージが依存しているパッケージなど、アプリケーションが直接依存しているわけではない深いところで脆弱性のあるバージョンが指定されていると、直接依存しているパッケージのバージョンを上げてもそのパッケージが依存しているパッケージで脆弱性のあるバージョンに依存したままだと結局は脆弱性を抱えたまま動かさなくてはなりません。 こうした問題の解決策としてyarnのSelective Dependency Resolutionsを使うことで直接