node-sass漏洞和npm审计

Question

我有项目来维护使用node-sass npm模块。

从Node10.x开始，有一个工具(称为npm audit)在我们每次执行npm install时都会运行。这似乎是一个预防漏洞问题的好工具。

我的问题是node-sass模块有漏洞。我看到项目的维护者不想用糟糕的原因来修复问题。https://github.com/sass/node-sass/issues/2262

维护像node-sass这样的流行模块的人应该尽快纠正漏洞问题，但不幸的是他们没有。

我不是安全方面的专家，所以我更喜欢依赖于指示npm的东西，而不再使用打印让你认为你的软件是垃圾的消息的依赖项。

但是我非常喜欢CSS编码，所以我想给它一个保留它的机会。有没有办法在保证项目安全的同时消除这些漏洞信息，而不会减少开发人员的体验？

Answer 1

一种选择是使用dart-sass。它没有漏洞问题。

https://sass-lang.com/dart-sass

https://github.com/webpack-contrib/sass-loader

Answer 2

这个安全问题主要与节点-sass无关，因为它不会看到任何对您的活动代码的公开。

node-sass运行在通常用于开发的主机上，通常在公共网络中不可见。

您通常会使用SCSS sass将预编译成，并且漏洞不会影响生成的CSS代码。

如果您将node.js服务器作为后端运行，则这些警告是相关的，但通常情况并非如此。(或者永远不会出现这种情况)