egg icon indicating copy to clipboard operation
egg copied to clipboard

Published 20 hours ago verified publisher icon eggjs

egg-bin依赖的espower-source存在政治敏感代码

Open vxow opened this issue 2 years ago • 6 comments

egg-bin依赖的espower-source里依赖es5-ext,这个包 https://github.com/medikoo/es5-ext/blob/main/_postinstall.js 存在政治敏感代码,有其他替代品么

vxow avatar Jul 28 '22 11:07 vxow

@atian25

vxow avatar Jul 28 '22 12:07 vxow

+1

egg-bin依赖的espower-source里依赖es5-ext,这个包 https://github.com/medikoo/es5-ext/blob/main/_postinstall.js 存在政治敏感代码,有其他替代品么

palmerye avatar Jul 28 '22 12:07 palmerye

+1

WormGirl avatar Jul 28 '22 12:07 WormGirl

这个依赖链有点广。

espower 那个是 power-assert 那边的,很难有替代品。

https://github.com/cnpm/bug-versions/pull/205/files 先临时 bug-version 了,通过 cnpm 安装的不会执行它的 script。

我们晚点看看要不要停止这个包的后续更新。

atian25 avatar Jul 29 '22 03:07 atian25

https://github.com/medikoo/es5-ext/issues/186

atian25 avatar Jul 29 '22 06:07 atian25

可以不用替代,锁定版本就好了,在package.json的dependencies里加一项: "es5-ext": "<=0.10.53" 然后刷新下node_modules就好了

fictiony avatar Aug 15 '22 17:08 fictiony