Parcel-Bundler 无法修复高漏洞

Question

我在 SASS 和 Parcel 上关注了 Kevin Powell 的 YT 视频。 我设法让 SASS 零件正常运行，并设法让包裹打包机在一个项目上正常工作……所以到目前为止一切都很好。

今天我正在创建一个新项目并遵循所有必需的步骤，当我通过npm install parcel-bundler --save-dev安装 Parcel 时，我遇到了 2 个高严重性漏洞......我已经运行了npm audit fix命令和npm audit fix --force建议但没有运气摆脱这个问题。

这是npm audit的output

npm audit report

node-forge  <=0.9.2
Severity: high
Prototype Pollution in node-forge - https://npmjs.com/advisories/1561
fix available via `npm audit fix --force`
Will install parcel-bundler@1.3.1, which is a breaking change
node_modules/node-forge
  parcel-bundler  >=1.4.0
  Depends on vulnerable versions of node-forge
  node_modules/parcel-bundler

2 high severity vulnerabilities

To address all issues (including breaking changes), run:
  npm audit fix --force

我已经尝试了所有可能的解决方案，我可以在这个问题上找到，但对于我的生活，我无法让它发挥作用。

我什至在我的 PC 和笔记本电脑上都进行了测试......我的主 PC 正在运行 Linux Mint 19.2 cinnamon 和笔记本电脑 Window 10 并且在两者中我都遇到了相同的 2 个漏洞。

我怎样才能解决这个问题？

Answer 1

这几天我有同样的问题。 我尝试了一切可能，只有这个有效

npm add --dev parcel@next

或者

npm add --include=dev parcel@next

如果它们不起作用，请尝试以下方法：

npm install -D parcel@next

它的版本 2.0.0-beta.1

另外，我卸载了 NodeJS，删除了 users/{myName}/AppData/Roaming/npm 目录、package.json 和 node_modules。

Answer 2

谢谢@Stefan！

总结一下我为使它工作而采取的步骤是：

删除了所有预先存在的.json、node_modules、缓存文件夹，甚至是用于保存捆绑代码（html、css 等）的 dist 文件夹，以确保我有一个干净的开始。

然后我初始化了npm：

npm init -y

之后我添加了“包裹”：

npm add --include=dev parcel@next

我通过强制修复并确保没有任何问题来修复任何问题：

npm audit fix --force

现在是甜蜜的部分......我刚刚运行了 Yarn 并且瞧，它有效！

yarn parcel index.html

• npm 版本：7.6.3
• 包裹版本：2.0.0-beta.1
• 纱线版本：1.22.5

Answer 3

无需担心漏洞。 您可以按照视频Sass 中 Kevin 的步骤进行操作，自动刷新（以及更多）变得简单

一切正常。

如果您想了解该问题，请查看此链接https://github.com/parcel-bundler/parcel/issues/5145

看附上的截图