Handlebars.js: 4.x 릴리스에서 더 이상 사용되지 않는 낙관론자 대신 yargs 사용

나는 그것이 cli를 깨뜨릴 수 있다고 생각하므로 4.x 분기에서 업데이트하지 않는 것이 좋습니다.

가끔 마스터에서 5.0 작업을 하고 있는데 이게 다 자발적인 작업이고 다른 업무가 많아서 언제 준비가 되었는지 알 수 없습니다.

optimist 에서 minimist 또는 yargs 로 이동하면 SNYK-JS-MINIMIST-559764 보안 취약점( [email protected] 필요)을 더 쉽게 완화할 수 있습니다. optimist 의 semver 범위 minimist@~0.0.1 맞지 않음 ).

이것은 핸들바가 4.x 브랜치로 백포트하기를 원할 것이라고 상상할 수 있는 것입니다.

내가 제안한 대안은 optimist 의 종속성을 완화하는 것이지만 더 이상 사용되지 않기 때문에 더 이상 수정 사항을 받지 못할 가능성이 높다고 생각합니다.

https://github.com/substack/node-optimist/pull/150

편집: Yarn을 사용하여 아래 해결 방법: https://github.com/wycats/handlebars.js/issues/1658#issuecomment -603768912

알겠습니다. 시도해 볼 수 있을 것 같습니다. yargs API는 정말 낙관론자 API처럼 보입니다. 4.x용 PR을 만들고 싶은 사람이 있습니까?

마이그레이션 후에도 CLI가 여전히 동일하게 작동하는지 확인하는 몇 가지 테스트가 더 있었다면 정말 기분이 좋았을 것입니다.

현재 여기에 하나만

몇 가지 테스트를 만들고 optimist와 함께 작동하는지 확인한 다음 yargs로 마이그레이션하고 여전히 작동하는지 확인하십시오.

아무나 할 수 있습니까?

Yarn을 사용하는 경우 해결될 때까지 다음과 같은 해결 방법이 있습니다(#1662 사용).

package.json 다음 해상도를 추가하고 yarn .

  "resolutions": {
    "**/optimist/minimist": "0.2.1"
  }

이것은 모든 버전의 강제 optimist 사용하여 [email protected] 있는 패키지에 따라 관계없이, optimist .

최신 optimist 버전(0.6.1, 6년 전에 릴리스됨)은 handlebars 에 의존하는 프로젝트에서 npm audit 오류를 일으키는 minimist 의 취약한 버전 범위에 의존합니다. handlebars 직간접적으로. optimist 을(를) 제거하면 매우 감사하겠습니다. 감사합니다!

#1661 참조

4.7.4에서 출시됨