主干网-撤销/下划线安全建议
版本: 'v0.17.3' 你能重现演示中的bug吗?[x] 是的[ ] 不 预期的行为是什么? 见下文 目前的行为是什么? 嵌套依赖中使用的“underscore”版本中存在已知的安全漏洞。 当前版本的“葡萄”使用“backbone-undo”^0.2.5” https://github.com/artf/grapesjs/blob/d7f773202c72710dd787e2ce418c114c9ef81986/package.json#L20 最新版本是通过['npm'](https://www.npmjs.com/package/backbone-undo?activeTab=versions)实现的“0.2.5” 'ba...
emyasnikov
我也在想是否需要“骨干撤销”,或者可以用类似的替代。这个套餐已经6年没更新了
artf
这个套餐已经6年没更新了 嗯,除了更新依赖(比如出于安全考虑),它是一个功能完整的库,不需要添加或更新其他东西。 总之,这个[PR](https://github.com/artf/grapesjs/pull/3439)似乎修复了.lock级别的安全漏洞,但我不确定它们是否会保留在全新安装中。 我知道纱线有针对这种情况的“解决”,但不确定NPM里有没有其他替代方案。
chilled-capybara
谢谢你的回复总之,这个 [PR](https://github.com/artf/grapesjs/pull/3439) 似乎修复了 .lock 级别的安全漏洞,但我不确定它们是否会保留在全新安装中。 我觉得这可能会修复主“grapejs”仓库里的版本,但我不确定它是否限制了通过“backbone-undo”导入的版本。 如果你通过以下方式建立一个全新的项目 新的“Yarn.lock”仍会引用两个版本;