GitHubから「One of your dependencies has a security vulnerability」(package-lock.jsonで指定されてるパッケージに脆弱性があるよー)というアラートがきたので対応した手順をメモしておきます。
更新したいpackage.jsonがあるディレクトリで以下を実行
$ npm-check-updates -u --packageFile package.jsonこれで package.json の内容が書き換わる。
(npm-check-updates 自体がインストールされていなくて使えない場合は $ npm install -g npm-check-updates から。参考: npm入門 - Qiita )
次に npm update 。これで実際にパッケージが更新される。
$ npm updateそしたら脆弱性が見つかったって言われた
found 48 vulnerabilities (1 low, 47 high)
run `npm audit fix` to fix them, or `npm audit` for detailsなので npm audit fix
$ npm audit fixこれで、自動的にアップデートして対処できるものは対処してくれる。
npm audit すると今残ってる脆弱性の詳細を教えてくれる。こんな感じ。
$ npm audit
=== npm audit security report ===
Manual Review
Some vulnerabilities require your attention to resolve
Visit https://go.npm.me/audit-guide for additional guidance
Low Regular Expression Denial of Service
Package braces
Patched in >=2.3.1
Dependency of babel-cli
Path babel-cli > chokidar > anymatch > micromatch > braces
More info https://nodesecurity.io/advisories/786
found 1 low severity vulnerability in 3390 scanned packages
1 vulnerability requires manual review. See the full report for details.じゃあこの残ってるパッケージをどうしたらいいかっていうのはまた今度調べます… low severity なので。
緊急度が高いものはパッケージの開発者の方々もチェックして対応してくれていることが多いので、そのおかげで自動でアップデートできるみたいです。
0 件のコメント:
コメントを投稿