Parcel-Bundler 无法修复高漏洞

Question

我关注了 Kevin Powell 在 SASS 和 Parcel 上的 YT 视频。我设法让 SASS 部分正常运行，并设法让包裹捆绑器在一个项目上正常工作......所以到目前为止一切都很好。

今天我正在创建一个新项目并遵循所有必需的步骤，当我通过npm install parcel-bundler --save-dev 安装 Parcel 时，我遇到了 2 个高严重性漏洞......我已经运行了 npm audit fix 命令和npm audit fix --force 如建议的那样，但没有运气解决这个问题。

这是npm audit的输出

npm audit report

node-forge  <=0.9.2
Severity: high
Prototype Pollution in node-forge - https://npmjs.com/advisories/1561
fix available via `npm audit fix --force`
Will install parcel-bundler@1.3.1, which is a breaking change
node_modules/node-forge
  parcel-bundler  >=1.4.0
  Depends on vulnerable versions of node-forge
  node_modules/parcel-bundler

2 high severity vulnerabilities

To address all issues (including breaking changes), run:
  npm audit fix --force

我已经尝试了所有可能的解决方案，我可以找到解决这个问题的方法，但我终其一生都无法让它发挥作用。

我什至在我的 PC 和笔记本电脑上都进行了测试...我的主 PC 运行的是 Linux Mint 19.2 cinnamon 和笔记本电脑 Window 10，并且我在两者中都遇到了相同的 2 个漏洞。

我该如何解决这个问题？

Answer 1

这几天我遇到了同样的问题。我尝试了所有可能的方法，只有这个有效

npm add --dev parcel@next

或

npm add --include=dev parcel@next

如果它们不起作用，请尝试：

npm install -D parcel@next

它的版本 2.0.0-beta.1

另外，我卸载了 NodeJS，删除了 users/{myName}/AppData/Roaming/npm 目录、package.json 和 node_modules。

Answer 2

感谢@Stefan！

总结一下我为使其工作而采取的步骤是：

删除了所有预先存在的 .json、node_modules、缓存文件夹，甚至是用于保存捆绑代码（html、css 等）的 dist 文件夹，以确保我有一个干净的开始。

然后我初始化了npm：

npm init -y

之后我添加了“包裹”：

npm add --include=dev parcel@next

我通过强制修复并确保没有任何问题来修复任何问题：

npm audit fix --force

现在是甜蜜的部分......我刚刚运行了 Yarn，瞧，它可以工作了！

yarn parcel index.html

• npm 版本：7.6.3
• 包裹版本：2.0.0-beta.1
• 纱线版本​​：1.22.5

Answer 3

无需担心漏洞。您可以按照视频Sass with auto-refresh (and more) made easy中Kevin的步骤进行操作

一切正常。

如果您想了解该问题，请查看此链接， https://github.com/parcel-bundler/parcel/issues/5145

看附上的截图