Minimist Github页面不退出

Question

显然，我的一个回购有一个易受攻击的软件包，但当我查找它时，它并不存在。有什么想法吗？

https://github.com/substack/minimist

https://www.npmjs.com/package/minimist

Answer 1

TL;DR

我认为作者的GitHub帐户被隐藏、删除或暂停。

推理

页面https://github.com/substack也会导致404。

我在archive.org上找到了archive.org。看起来当时有43个未发行的股票和28个公开的PRs，最近一次提交是在4个月前，也就是2022年3月。虽然4个月的时间并不长，但开放项目的数量可能表明维护人员没有足够的时间继续工作。这纯粹是关于我的观点的推测--我还没有尝试过联系或者其他类似的事情。

虽然国家预防机制未公布政策和国家预防机制可接受的使用政策定义了可以将包完全从NPM中删除的场景，但它甚至没有被废弃。包页仍然在网站上。

GitHub政策允许挂起或隐藏用户帐户，或者用户可以很容易地出于任何原因选择删除它。

我的建议

存储库的自述文件和https://security.snyk.io/vuln/SNYK-JS-MINIMIST-2429795都指出，1.2.6解决了这个安全问题，因此，一旦您有了带宽，我就会强制在锁文件中这样做。如果这是一个传递依赖项，那么也值得警告任何直接依赖于minimist的包的维护人员。

您还有另一种选择，因为代码是在MIT许可下授权的。您(和/或任何其他感兴趣的人)可以选择分叉代码并构建一个完全兼容的包替换版本。当然，您也可以选择切换到另一个参数-解析库。