我有需要维护使用node-sass npm模块的项目。
自从node 10.x以来,每次进行npm install时都会运行一个工具(称为npm audit)。这似乎是防止存在漏洞问题的好工具。
我的问题是node-sass模块存在漏洞。我发现该项目的维护者出于不好的原因拒绝修复这些问题。 https://github.com/sass/node-sass/issues/2262 像node-sass这样维护流行模块的人应尽快纠正漏洞问题,但不幸的是他们没有这么做。
我不是安全方面的专家,所以我更喜欢依赖于npm所指示的内容,并且不再使用任何让人认为你的软件很糟糕的依赖项。
但我非常喜欢用SASS编写CSS,希望能给它一次机会继续使用。 有什么想法可以在保持项目安全、不降低开发者体验的同时消除这些漏洞信息?
自从node 10.x以来,每次进行npm install时都会运行一个工具(称为npm audit)。这似乎是防止存在漏洞问题的好工具。
我的问题是node-sass模块存在漏洞。我发现该项目的维护者出于不好的原因拒绝修复这些问题。 https://github.com/sass/node-sass/issues/2262 像node-sass这样维护流行模块的人应尽快纠正漏洞问题,但不幸的是他们没有这么做。
我不是安全方面的专家,所以我更喜欢依赖于npm所指示的内容,并且不再使用任何让人认为你的软件很糟糕的依赖项。
但我非常喜欢用SASS编写CSS,希望能给它一次机会继续使用。 有什么想法可以在保持项目安全、不降低开发者体验的同时消除这些漏洞信息?
npm audit不是一个很好的工具,因为它也会警告那些在生产代码中并不是问题的问题。 - Stephan Vierkant