4 votes

vulnérabilité de node-sass et audit de npm

J'ai des projets à maintenir qui utilisent le module npm node-sass.

Depuis node 10.x, il existe un outil (appelé npm audit ) qui est exécutée à chaque fois que nous faisons un npm install . Cela semble être un bon outil pour prévenir les problèmes de vulnérabilité.

Mon problème est que le module node-sass présente des vulnérabilités. J'ai vu que les mainteneurs du projet ne veulent pas corriger les problèmes pour de mauvaises raisons. https://github.com/sass/node-sass/issues/2262

Les personnes qui maintiennent des modules populaires comme node-sass devraient corriger dès que possible les problèmes de vulnérabilité, mais malheureusement ils ne le font pas.

Je ne suis pas un expert en sécurité, donc je préfère me fier à ce qu'indique npm et ne plus utiliser de dépendances qui impriment des messages qui vous laissent penser que votre logiciel est merdique.

Mais j'aime tellement SASS pour coder les CSS que j'aimerais lui donner une chance de le conserver. Une idée pour supprimer ces messages de vulnérabilité tout en gardant le projet sûr et en ne réduisant pas l'expérience du développeur ?

Merci.

2voto

Jason Ching Points 440

Une option est d'utiliser dart-sass. Il n'y a pas de problème de vulnérabilité.

https://sass-lang.com/dart-sass

https://github.com/webpack-contrib/sass-loader

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

X