問題を提出する前に、まず次の点を確認してください。
最新のhandlebars 4.7.3
を使用していますが、依存関係の1つoptimist
が非推奨になっていることに気付きました。 代わりにyargs
に切り替えるチケットがあり(https://github.com/wycats/handlebars.js/issues/1179)、マージされたPRで閉じられました(https://github.com/ wycats / handlebars.js / pull / 1180)。 ただし、マージされたPRはまだ4.xリリースにはありません。 4.xリリースでこれを修正してください。
私はそれがCLIを壊すかもしれないと思うので、私はむしろ4.xブランチで更新したくありません。
マスターで5.0に取り組んでいることもありますが、これはすべて自主的な仕事であり、他にもたくさんの仕事があるので、いつ準備ができているのかわかりません。
optimist
からminimist
またはyargs
すると、 SNYK-JS-MINIMIST-559764のセキュリティの脆弱性( [email protected]
が必要)を簡単に緩和することもできます。 optimist
のsemver範囲minimist@~0.0.1
適合しません)。
これは、Handlebarsが4.xブランチにバックポートしたいと思うものです。
私が提案した別の方法は、 optimist
の依存関係を緩和することですが、廃止されたため、修正が適用されなくなる可能性が高いと思います。
https://github.com/substack/node-optimist/pull/150
編集:以下の回避策、Yarnを使用: https :
OK、私たちはそれを試してみることができると思います。 yargs APIは、実際にはオプティミストAPIのようです。 4.xのPRを作成したい人はいますか?
移行後もCLIが同じように機能することを確認するテストがさらにあれば、本当に気分が良くなります。
現在、ここには1つしかありません。 さまざまなパラメータを使用してテストを行うのはすばらしいことです。
いくつかのテストを作成し、それらがoptimistで機能することを確認してから、yargsに移行して、それらがまだ機能するかどうかを確認します。
誰かがそれをすることができますか?
Yarnを使用している場合、これが修正されるまでの回避策は次のとおりです(おそらく#1662を使用)。
あなたに次の解像度を追加しますpackage.json
と実行yarn
。
"resolutions": {
"**/optimist/minimist": "0.2.1"
}
これは、すべてのバージョンの強制的にoptimist
使用するように[email protected]
関係なく、依存しているパッケージの、 optimist
。
最新のoptimist
バージョン(6年前にリリースされた0.6.1)は、脆弱なバージョン範囲のminimist
に依存しているため、 handlebars
依存するプロジェクトでnpm audit
エラーが発生します。 handlebars
直接または間接的に。 optimist
を削除していただければ幸いです。ありがとうございます。
#1661を参照
4.7.4でリリース
最も参考になるコメント
OK、私たちはそれを試してみることができると思います。 yargs APIは、実際にはオプティミストAPIのようです。 4.xのPRを作成したい人はいますか?
移行後もCLIが同じように機能することを確認するテストがさらにあれば、本当に気分が良くなります。
現在、ここには1つしかありません。 さまざまなパラメータを使用してテストを行うのはすばらしいことです。
いくつかのテストを作成し、それらがoptimistで機能することを確認してから、yargsに移行して、それらがまだ機能するかどうかを確認します。
誰かがそれをすることができますか?