Handlebars.js: Verwenden Sie yargs anstelle des veralteten Optimisten in der Version 4.x
Bevor Sie Probleme einreichen, überprüfen Sie bitte zuerst die folgenden Punkte:
- [x] Bitte öffnen Sie keine Probleme aus Sicherheitsgründen. Senden Sie stattdessen einen Bericht unter https://www.npmjs.com/advisories/report?package=handlebars
- [x] Schau mal auf https://github.com/wycats/handlebars.js/blob/master/CONTRIBUTING.md
- [x] Lesen Sie die FAQ unter https://github.com/wycats/handlebars.js/blob/master/FAQ.md
- [x] Verwenden Sie das jsfiddle-Template unter https://jsfiddle.net/4nbwjaqz/4/ um Probleme oder Fehler zu reproduzieren
Wir verwenden das neueste handlebars 4.7.3 , haben aber festgestellt, dass eine der Abhängigkeiten optimist veraltet ist. Es gibt ein Ticket, um stattdessen zu yargs zu wechseln (https://github.com/wycats/handlebars.js/issues/1179) und es wurde mit der zusammengeführten PR geschlossen (https://github.com/ wycats/lenker.js/pull/1180). Die zusammengeführte PR ist jedoch noch nicht in 4.x-Version. Bitte beheben Sie dies in der Version 4.x.
ShintaroOkuda
Alle 7 Kommentare
Ich denke, es könnte die cli kaputt machen, also würde ich lieber nicht im 4.x-Zweig aktualisieren.
Ich arbeite manchmal an 5.0 im Master, aber da dies alles ehrenamtlich ist und ich viele andere Aufgaben habe, kann ich nicht sagen, wann es fertig sein wird.
nknapp
am 7. März 2020
Der Wechsel von optimist zu minimist oder yargs würde auch eine einfachere Eindämmung der Sicherheitslücke SNYK-JS-MINIMIST-559764 ermöglichen (die [email protected] erfordert, die passt nicht in den Semverbereich von optimist von minimist@~0.0.1 ).
Dies wäre etwas, was ich mir vorstellen würde, dass Handlebars in den 4.x-Zweig zurückportieren möchte.
Eine Alternative, die ich vorgeschlagen habe, besteht darin, die Abhängigkeiten in optimist , aber da es veraltet ist, ist die Wahrscheinlichkeit hoch, dass es keine Fixes mehr erhält:
https://github.com/substack/node-optimist/pull/150
Bearbeiten: Workaround unten mit Yarn: https://github.com/wycats/handlebars.js/issues/1658#issuecomment -603768912
karlhorky
am 14. März 2020
OK, ich denke, wir können es versuchen. Die yargs-API scheint wirklich wie die optimistische API zu sein. Möchte jemand eine PR für 4.x erstellen?
Ich würde mich wirklich besser fühlen, wenn es weitere Tests geben würde, die bestätigen, dass die CLI nach der Migration immer noch gleich funktioniert.
Derzeit gibt es hier nur einen. Es wäre cool, einen Test mit verschiedenen Parametern durchzuführen.
Erstellen Sie einige Tests, überprüfen Sie, ob sie mit Optimist funktionieren, migrieren Sie dann zu yargs und sehen Sie, ob sie noch funktionieren.
Könnte das jemand machen?
nknapp
am 17. März 2020
Wenn Sie Yarn verwenden, ist hier eine Problemumgehung für den Moment, bis dies behoben ist (vielleicht mit # 1662):
Fügen Sie Ihrem package.json die folgende Auflösung hinzu und führen Sie yarn .
"resolutions": {
"**/optimist/minimist": "0.2.1"
}
Dadurch werden alle Versionen von optimist gezwungen, [email protected] , unabhängig davon, welches Paket von optimist abhängig ist.
karlhorky
am 25. März 2020
Die neueste optimist Version (0.6.1, veröffentlicht vor 6 Jahren) hängt von einem anfälligen Versionsbereich von minimist der npm audit Fehler in Projekten verursacht, die von handlebars abhängen optimist wäre sehr willkommen, vielen Dank!
fabb
am 27. März 2020
Siehe #1661
nknapp
am 28. März 2020
Veröffentlicht in 4.7.4
ErisDS
am 1. Apr. 2020
Verwandte Themen
janus-reith
·
3Kommentare
ricardograca
·
4Kommentare
nknapp
·
3Kommentare
amirzandi
·
7Kommentare
NickCis
·
4Kommentare
Hilfreichster Kommentar
OK, ich denke, wir können es versuchen. Die yargs-API scheint wirklich wie die optimistische API zu sein. Möchte jemand eine PR für 4.x erstellen?
Ich würde mich wirklich besser fühlen, wenn es weitere Tests geben würde, die bestätigen, dass die CLI nach der Migration immer noch gleich funktioniert.
Derzeit gibt es hier nur einen. Es wäre cool, einen Test mit verschiedenen Parametern durchzuführen.
Erstellen Sie einige Tests, überprüfen Sie, ob sie mit Optimist funktionieren, migrieren Sie dann zu yargs und sehen Sie, ob sie noch funktionieren.
Könnte das jemand machen?