2019年8月23日金曜日

GitHub から Security Alert が来たので package.json をアップデートする

GitHubから「One of your dependencies has a security vulnerability」(package-lock.jsonで指定されてるパッケージに脆弱性があるよー)というアラートがきたので対応した手順をメモしておきます。

更新したいpackage.jsonがあるディレクトリで以下を実行

$ npm-check-updates -u --packageFile package.json

これで package.json の内容が書き換わる。

(npm-check-updates 自体がインストールされていなくて使えない場合は $ npm install -g npm-check-updates から。参考: npm入門 - Qiita

次に npm update 。これで実際にパッケージが更新される。

$ npm update

そしたら脆弱性が見つかったって言われた

found 48 vulnerabilities (1 low, 47 high)
  run `npm audit fix` to fix them, or `npm audit` for details

なので npm audit fix

$ npm audit fix

これで、自動的にアップデートして対処できるものは対処してくれる。

npm audit すると今残ってる脆弱性の詳細を教えてくれる。こんな感じ。

$ npm audit
=== npm audit security report ===


                                 Manual Review
             Some vulnerabilities require your attention to resolve

          Visit https://go.npm.me/audit-guide for additional guidance


  Low             Regular Expression Denial of Service

  Package         braces

  Patched in      >=2.3.1

  Dependency of   babel-cli

  Path            babel-cli > chokidar > anymatch > micromatch > braces

  More info       https://nodesecurity.io/advisories/786

found 1 low severity vulnerability in 3390 scanned packages
  1 vulnerability requires manual review. See the full report for details.

じゃあこの残ってるパッケージをどうしたらいいかっていうのはまた今度調べます… low severity なので。
緊急度が高いものはパッケージの開発者の方々もチェックして対応してくれていることが多いので、そのおかげで自動でアップデートできるみたいです。

参考:
npmのpackage.jsonを最新のバージョンに更新する
npm入門 - Qiita

0 件のコメント:

コメントを投稿