Sweetalert: O projeto pode ser malicioso

Talvez você possa usar a integridade de sub-recursos para seu caso de uso específico? O suporte não é

Este também é um problema para mim. Eu empacoto meu js e css em vários pacotes. No momento, não há código js não diminuído que eu possa passar para meu script gulp. E não há como eu simplesmente despejar cegamente o JavaScript ofuscado no código do meu produto.

Se houver código não minimizado que possa ser revisado, posso usar esta nova versão.

Há também SweetAlert2, que possui uma versão não minimizada disponível. Isso pode salvar alguns problemas. Funciona bem.
https://github.com/limonte/sweetalert2/releases

@daftspunk Obrigado por separar este problema dos outros em # 733

Acho que este problema pode ser inválido ...

Preciso de arquivos de origem não minificados para provar que não são maliciosos.

Este projeto da web parece envolver-se em práticas inadequadas, forçando os usuários a instalar software em seu ambiente local para usá-lo (npm), caso contrário, forçando-os a usar código compilado e ofuscado que não pode ser verificado.

Devemos criar um novo problema ou PR "Fornecer compilação não ofuscada na distribuição do pacote". Se isso for rejeitado sem um bom motivo, posso suspeitar que o autor está fazendo algo malicioso.

Se for aceito, você pode acessar os arquivos dist, de qualquer versão, minimizada ou não, via unpkg.com

• https://unpkg.com/[email protected]/dist/sweetalert.min.js
• https://unpkg.com/[email protected]/dist/sweetalert.js (VINDO, mas com uma versão futura do sweetalert, é claro)

Manter os arquivos build / dist no controle de origem realmente vai contra a convenção generalizada e causa problemas com as ferramentas Git. Confira a configuração do projeto React, por exemplo. É extremamente padrão, em que os arquivos dist são incluídos na distribuição do pacote no npm (verifique a pasta umd ) e não incluídos no repositório de código-fonte no Github .