package.jsonで直接管理していないpackageに脆弱性がある場合等、yarn.lockを修正したくなりますが依存ライブラリを再インストールすれば更新できることが分かったのでやり方をメモ📝

バージョンを上げたいpackageに依存しているpackage.jsonで管理しているpackageを調べる

まずはyarn why`を使ってバージョンを上げたいpackageに依存しているpackage.jsonで管理しているライブラリを調査します。

$ yarn why lock_package

結果の見方等は以下の記事を参考にしてください。

バージョンを上げたいpackageに依存しているpackage.jsonで管理しているライブラリを再インストールする。

あとは簡単で以下のコマンドで再インストールすればyarn.lockだけ更新されるはずです。 ※ただし、バージョンを上げたいpackage以外の再インストールしたpackageの依存ライブラリがすべてバージョンが上がってしまうので注意⚠

$ yarn remove package
$ yarn add package

あとはyarn list --pattern lock_packageでバージョンが更新されていることを確認すればOKです🙆‍♂️