Handlebars.js: 4.xリリースで非推奨のオプティミストの代わりにyargsを使用する

私はそれがCLIを壊すかもしれないと思うので、私はむしろ4.xブランチで更新したくありません。

マスターで5.0に取り組んでいることもありますが、これはすべて自主的な仕事であり、他にもたくさんの仕事があるので、いつ準備ができているのかわかりません。

optimistからminimistまたはyargsすると、 SNYK-JS-MINIMIST-559764のセキュリティの脆弱性（ [email protected]が必要）を簡単に緩和することもできます。 optimistのsemver範囲minimist@~0.0.1適合しません）。

これは、Handlebarsが4.xブランチにバックポートしたいと思うものです。

私が提案した別の方法は、 optimistの依存関係を緩和することですが、廃止されたため、修正が適用されなくなる可能性が高いと思います。

https://github.com/substack/node-optimist/pull/150

編集：以下の回避策、Yarnを使用： https ：

OK、私たちはそれを試してみることができると思います。 yargs APIは、実際にはオプティミストAPIのようです。 4.xのPRを作成したい人はいますか？

移行後もCLIが同じように機能することを確認するテストがさらにあれば、本当に気分が良くなります。

現在、ここには1つしかありません。 さまざまなパラメータを使用してテストを行うのはすばらしいことです。

いくつかのテストを作成し、それらがoptimistで機能することを確認してから、yargsに移行して、それらがまだ機能するかどうかを確認します。

誰かがそれをすることができますか？

Yarnを使用している場合、これが修正されるまでの回避策は次のとおりです（おそらく＃1662を使用）。

あなたに次の解像度を追加しますpackage.jsonと実行yarn 。

  "resolutions": {
    "**/optimist/minimist": "0.2.1"
  }

これは、すべてのバージョンの強制的にoptimist使用するように[email protected]関係なく、依存しているパッケージの、 optimist 。

最新のoptimistバージョン（6年前にリリースされた0.6.1）は、脆弱なバージョン範囲のminimistに依存しているため、 handlebars依存するプロジェクトでnpm auditエラーが発生します。 handlebars直接または間接的に。 optimistを削除していただければ幸いです。ありがとうございます。

＃1661を参照

4.7.4でリリース