我有一些项目要使用node-sass npm模块进行维护。
自节点10.x起,每次执行npm audit时都会运行一个工具(称为npm install)。这似乎是预防漏洞问题的好工具。
我的问题是node-sass模块具有漏洞。我看到该项目的维护者不想以不良理由解决问题。 https://github.com/sass/node-sass/issues/2262
维护诸如node-sass之类的流行模块的人们应尽快纠正漏洞问题,但不幸的是,它们并没有解决。
我不是安全方面的专家,所以我宁愿依靠表示npm的内容,而不再使用依赖项来打印使您认为您的软件很糟糕的消息。
但是我非常喜欢编码CSS的SASS,因此我想给它一个保留它的机会。 在保持项目安全而不降低开发人员体验的同时删除这些漏洞消息的任何想法?
谢谢。
答案 0 :(得分:1)
一种选择是使用dart-sass。它没有漏洞问题。
答案 1 :(得分:1)
这个安全问题主要与 node-sass 无关,因为它永远不会发现您的实时代码有任何暴露。
node-sass 在通常用于开发的主机上运行,通常在公共网络中不可见。
您通常会使用 node-sass 将 SCSS 预编译为 CSS,漏洞不会影响生成的 CSS 代码。
如果您将 node.js 服务器作为后端运行,则这些警告是相关的,通常并非如此。 (或从不如此)