Dependabot 报告了 esbuild 的安全漏洞：

• 当前版本：0.21.5（存在安全漏洞）
• 修复版本：0.25.0+

由于 @rslib/core 依赖的 esbuild 版本较旧，我们使用 resolutions 强制更新传递依赖到安全版本。

在 package.json 中添加了以下配置：

{
  "resolutions": {
    "esbuild": "^0.25.0"
  }
}

注意：我们选择使用 resolutions 而不是 pnpm.overrides，因为：

1. resolutions 是更通用的标准，被多个包管理器支持
2. Dependabot 对 pnpm 的 overrides 功能支持有限
3. 避免了 "updating transitive dependencies" 的兼容性问题

在 .github/dependabot.yml 中忽略 esbuild 的自动更新，因为我们手动管理：

ignore:
  - dependency-name: "esbuild"
    update-types: ["version-update:semver-major", "version-update:semver-minor", "version-update:semver-patch"]

• ✅ esbuild 已更新到 0.25.5
• ✅ 构建正常工作
• ✅ 测试通过
• ✅ 安全漏洞已修复

当 @rslib/core 更新其 esbuild 依赖到安全版本时，可以移除 resolutions 配置。

定期检查：

1. @rslib/core 的更新日志
2. esbuild 的安全公告
3. 项目构建和测试状态

• esbuild 安全公告
• Package.json resolutions 文档
• pnpm resolutions 支持
• Dependabot 配置文档