如何修复依赖关系产生的及传递依赖性

Question

我们已经启用了依赖依台的依赖库。但是DiDeStabot并没有为某些漏洞打开新的PR。 例如：

下面是我看到的警报之一 ` 可以安装的最新可能版本是2.4.2，因为以下相互矛盾的依赖性：

[ ;受保护的] 要求lodash@~2.4.1通过 最早的固定版本是4.17.21。 `

但是，只要9年前发布了lodash上的修复，ie; v 1.1.1; v 1.1.1，但loadash最新版本4.17.21，它使用v 1.1.0，

因为zip依赖性是传递性，我使用v 1.1.2 v1.1.1在我的软件包中手动。它会覆盖Zip使用的版本还是该方法有其他选择？