J'ai des projets à maintenir qui utilisent le module npm node-sass.
Depuis node 10.x, il existe un outil (appelé npm audit
) qui est exécutée à chaque fois que nous faisons un npm install
. Cela semble être un bon outil pour prévenir les problèmes de vulnérabilité.
Mon problème est que le module node-sass présente des vulnérabilités. J'ai vu que les mainteneurs du projet ne veulent pas corriger les problèmes pour de mauvaises raisons. https://github.com/sass/node-sass/issues/2262
Les personnes qui maintiennent des modules populaires comme node-sass devraient corriger dès que possible les problèmes de vulnérabilité, mais malheureusement ils ne le font pas.
Je ne suis pas un expert en sécurité, donc je préfère me fier à ce qu'indique npm et ne plus utiliser de dépendances qui impriment des messages qui vous laissent penser que votre logiciel est merdique.
Mais j'aime tellement SASS pour coder les CSS que j'aimerais lui donner une chance de le conserver. Une idée pour supprimer ces messages de vulnérabilité tout en gardant le projet sûr et en ne réduisant pas l'expérience du développeur ?
Merci.