問題
GitHubのdependabotから、node-forgeのバージョンを0.10.0以上に上げろと怒られる
↓
package.json内にnode-forgeは無いから、yarn upgrade node-forgeでは対応できない
解決法
依存元のパッケージを特定して、そのパッケージをアップグレードして対応。
$ yarn why node-forge # 依存元のパッケージを確認
=> Found "node-forge@0.9.0"
info Reasons this module exists
- "webpack-dev-server#selfsigned" depends on it
- Hoisted from "webpack-dev-server#selfsigned#node-forge"
$ yarn upgrade webpack-dev-server # 依存元のパッケージをアップグレード
その他
日頃からテストをしっかり書いていると、パッケージをどんどんアップデートできて、セキュリティ的にもパフォーマンス的にも良いサービスを保てることを実感。