Bevor Sie Probleme einreichen, überprüfen Sie bitte zuerst die folgenden Punkte:
Wir verwenden das neueste handlebars 4.7.3
, haben aber festgestellt, dass eine der Abhängigkeiten optimist
veraltet ist. Es gibt ein Ticket, um stattdessen zu yargs
zu wechseln (https://github.com/wycats/handlebars.js/issues/1179) und es wurde mit der zusammengeführten PR geschlossen (https://github.com/ wycats/lenker.js/pull/1180). Die zusammengeführte PR ist jedoch noch nicht in 4.x-Version. Bitte beheben Sie dies in der Version 4.x.
Ich denke, es könnte die cli kaputt machen, also würde ich lieber nicht im 4.x-Zweig aktualisieren.
Ich arbeite manchmal an 5.0 im Master, aber da dies alles ehrenamtlich ist und ich viele andere Aufgaben habe, kann ich nicht sagen, wann es fertig sein wird.
Der Wechsel von optimist
zu minimist
oder yargs
würde auch eine einfachere Eindämmung der Sicherheitslücke SNYK-JS-MINIMIST-559764 ermöglichen (die [email protected]
erfordert, die passt nicht in den Semverbereich von optimist
von minimist@~0.0.1
).
Dies wäre etwas, was ich mir vorstellen würde, dass Handlebars in den 4.x-Zweig zurückportieren möchte.
Eine Alternative, die ich vorgeschlagen habe, besteht darin, die Abhängigkeiten in optimist
, aber da es veraltet ist, ist die Wahrscheinlichkeit hoch, dass es keine Fixes mehr erhält:
https://github.com/substack/node-optimist/pull/150
Bearbeiten: Workaround unten mit Yarn: https://github.com/wycats/handlebars.js/issues/1658#issuecomment -603768912
OK, ich denke, wir können es versuchen. Die yargs-API scheint wirklich wie die optimistische API zu sein. Möchte jemand eine PR für 4.x erstellen?
Ich würde mich wirklich besser fühlen, wenn es weitere Tests geben würde, die bestätigen, dass die CLI nach der Migration immer noch gleich funktioniert.
Derzeit gibt es hier nur einen. Es wäre cool, einen Test mit verschiedenen Parametern durchzuführen.
Erstellen Sie einige Tests, überprüfen Sie, ob sie mit Optimist funktionieren, migrieren Sie dann zu yargs und sehen Sie, ob sie noch funktionieren.
Könnte das jemand machen?
Wenn Sie Yarn verwenden, ist hier eine Problemumgehung für den Moment, bis dies behoben ist (vielleicht mit # 1662):
Fügen Sie Ihrem package.json
die folgende Auflösung hinzu und führen Sie yarn
.
"resolutions": {
"**/optimist/minimist": "0.2.1"
}
Dadurch werden alle Versionen von optimist
gezwungen, [email protected]
, unabhängig davon, welches Paket von optimist
abhängig ist.
Die neueste optimist
Version (0.6.1, veröffentlicht vor 6 Jahren) hängt von einem anfälligen Versionsbereich von minimist
der npm audit
Fehler in Projekten verursacht, die von handlebars
abhängen optimist
wäre sehr willkommen, vielen Dank!
Siehe #1661
Veröffentlicht in 4.7.4
Hilfreichster Kommentar
OK, ich denke, wir können es versuchen. Die yargs-API scheint wirklich wie die optimistische API zu sein. Möchte jemand eine PR für 4.x erstellen?
Ich würde mich wirklich besser fühlen, wenn es weitere Tests geben würde, die bestätigen, dass die CLI nach der Migration immer noch gleich funktioniert.
Derzeit gibt es hier nur einen. Es wäre cool, einen Test mit verschiedenen Parametern durchzuführen.
Erstellen Sie einige Tests, überprüfen Sie, ob sie mit Optimist funktionieren, migrieren Sie dann zu yargs und sehen Sie, ob sie noch funktionieren.
Könnte das jemand machen?