Parcel-Bundler 無法修復高漏洞

Question

我在 SASS 和 Parcel 上關注了 Kevin Powell 的 YT 視頻。 我設法讓 SASS 零件正常運行，並設法讓包裹打包機在一個項目上正常工作……所以到目前為止一切都很好。

今天我正在創建一個新項目並遵循所有必需的步驟，當我通過npm install parcel-bundler --save-dev安裝 Parcel 時，我遇到了 2 個高嚴重性漏洞......我已經運行了npm audit fix命令和npm audit fix --force建議但沒有運氣擺脫這個問題。

這是npm audit的output

npm audit report

node-forge  <=0.9.2
Severity: high
Prototype Pollution in node-forge - https://npmjs.com/advisories/1561
fix available via `npm audit fix --force`
Will install parcel-bundler@1.3.1, which is a breaking change
node_modules/node-forge
  parcel-bundler  >=1.4.0
  Depends on vulnerable versions of node-forge
  node_modules/parcel-bundler

2 high severity vulnerabilities

To address all issues (including breaking changes), run:
  npm audit fix --force

我已經嘗試了所有可能的解決方案，我可以在這個問題上找到，但對於我的生活，我無法讓它發揮作用。

我什至在我的 PC 和筆記本電腦上都進行了測試......我的主 PC 正在運行 Linux Mint 19.2 cinnamon 和筆記本電腦 Window 10 並且在兩者中我都遇到了相同的 2 個漏洞。

我怎樣才能解決這個問題？

Answer 1

這幾天我有同樣的問題。 我嘗試了一切可能，只有這個有效

npm add --dev parcel@next

或者

npm add --include=dev parcel@next

如果它們不起作用，請嘗試以下方法：

npm install -D parcel@next

它的版本 2.0.0-beta.1

另外，我卸載了 NodeJS，刪除了 users/{myName}/AppData/Roaming/npm 目錄、package.json 和 node_modules。

Answer 2

謝謝@Stefan！

總結一下我為使它工作而采取的步驟是：

刪除了所有預先存在的.json、node_modules、緩存文件夾，甚至是用於保存捆綁代碼（html、css 等）的 dist 文件夾，以確保我有一個干凈的開始。

然后我初始化了npm：

npm init -y

之后我添加了“包裹”：

npm add --include=dev parcel@next

我通過強制修復並確保沒有任何問題來修復任何問題：

npm audit fix --force

現在是甜蜜的部分......我剛剛運行了 Yarn 並且瞧，它有效！

yarn parcel index.html

• npm 版本：7.6.3
• 包裹版本：2.0.0-beta.1
• 紗線版本：1.22.5

Answer 3

無需擔心漏洞。 您可以按照視頻Sass 中 Kevin 的步驟進行操作，自動刷新（以及更多）變得簡單

一切正常。

如果您想了解該問題，請查看此鏈接https://github.com/parcel-bundler/parcel/issues/5145

看附上的截圖