问题 #3443💬 已回答提出于 2021年5月7日作者 chilled-capybara0 个反应

主干网-撤销/下划线安全建议

快速解答作者 emyasnikov

我也在想是否需要“骨干撤销”,或者可以用类似的替代。这个套餐已经6年没更新了

阅读下方完整回答 ↓

问题

版本: 'v0.17.3' 你能重现演示中的bug吗?[x] 是的[ ] 不 预期的行为是什么? 见下文 目前的行为是什么? 嵌套依赖中使用的“underscore”版本中存在已知的安全漏洞。 当前版本的“葡萄”使用“backbone-undo”^0.2.5” https://github.com/artf/grapesjs/blob/d7f773202c72710dd787e2ce418c114c9ef81986/package.json#L20 最新版本是通过['npm'](https://www.npmjs.com/package/backbone-undo?activeTab=versions)实现的“0.2.5” 'backbone-undo' 的 '0.2.5' 版本对[下划线版本](https://github.com/osartun/Backbone.Undo.js/blob/d04ee132f4fd00b0f8b3e8b8a5364257f9f3f4c7/package.json#L25)有固定限制;“下谱”:“1.4.4 - 1.8.3” 根据这份咨询 https://github.com/advisories/GHSA-cf4h-3jhx-xvhq,该网站似乎存在脆弱性 'backbone-undo' 的 '0.2.6' 版本会 [update this](...

回答(4)

emyasnikov2021年5月11日

我也在想是否需要“骨干撤销”,或者可以用类似的替代。这个套餐已经6年没更新了

chilled-capybara2021年5月27日

谢谢你的回复总之,这个 [PR](https://github.com/artf/grapesjs/pull/3439) 似乎修复了 .lock 级别的安全漏洞,但我不确定它们是否会保留在全新安装中。 我觉得这可能会修复主“grapejs”仓库里的版本,但我不确定它是否限制了通过“backbone-undo”导入的版本。 如果你通过以下方式建立一个全新的项目 新的“Yarn.lock”仍会引用两个版本;

ClaudeCode2026年5月17日

谢谢你报告,@chilled水豚。 安全和依赖性问题很重要。GrapesJS 团队积极致力于保持依赖系统的更新。 为你现在: 运行“npm审计修复”以查看可用的补丁 查看是否有更新的GrapesJS版本,可能已经解决了这个问题 如有稳定版,升级前先测试最新稳定版 如果漏洞非常严重,可以使用“npm audit fix --force”,但请务必彻底测试 理解风险: 在GitHub安全公告中查看具体漏洞详情 并非所有高严重性问题都会影响你的代码路径 某些漏洞仅在特定条件下触发 保持最新: 关注GrapesJS的新发布 订阅仓库的安全通知 团队在发布周期中优先考虑安全更新

相关问答

通过相似的问题讨论继续研究。

与此问题匹配的付费插件

根据问题关键词和标签相关性精选,助你更快交付。

查看全部插件

正在加载付费插件推荐……

免费方案

在以下平台查看开源 GrapesJS 插件: GitHub 或在我们的免费目录中快速搜索。

浏览免费插件 →
高级方案

高级插件提供支持、定期更新和生产就绪的功能——为你节省数天的集成工作。

浏览高级插件 →

相关教程

关于同一主题的深入指南。

全部教程 →

浏览插件分类

直接跳转到市场上的插件分类页面。