我有项目来维护使用node-sass npm模块。
从节点10.x开始,每次我们执行npm audit
时都会运行一个工具(称为npm install
)。这似乎是防止漏洞问题的好工具。
我的问题是node-sass模块有漏洞。我看到项目的维护者不想以错误的理由解决问题。 https://github.com/sass/node-sass/issues/2262
维护像node-sass这样的流行模块的人应该尽快纠正漏洞问题,但不幸的是他们没有。
我不是安全方面的专家,所以我更喜欢依赖于指示npm的内容而不再使用打印消息的依赖项,让您认为您的软件是垃圾。
但是我非常喜欢SASS编写CSS,我想给它一个保留它的机会。有什么想法删除这些漏洞消息,同时保持项目安全,而不是减少开发人员的经验?
谢谢。
一种选择是使用dart-sass。它没有漏洞问题。