npmパッケージの中で、node-forge というライブラリに脆弱性があったので、それだけアップデートしようとしました。
% yarn upgrade node-forge
ところが、yarn.lock には何も変化なし。
webpack-dev-server が selfsigned に依存していて、selfsigned が node-forge に依存しているという関係です。
% yarn upgrade selfsigned
これでも何も起きず。
yarn.lock を直接開き、該当するパッケージの情報を削除してから yarn install するとうまくいきました。
yarn.lock
- node-forge@0.9.0:
- version "0.9.0"
- resolved "https://registry.yarnpkg.com/node-forge/-/node-forge-0.9.0.tgz#d624050edbb44874adca12bb9a52ec63cb782579"
- integrity sha512-7ASaDa3pD+lJ3WvXFsxekJQelBKRpne+GOVbLbtHYdd7pFspyeuJHnWfLplGf3SwKGbfs/aYl5V/JCIaHVUKKQ==
- selfsigned@^1.10.7:
- version "1.10.7"
- resolved "https://registry.yarnpkg.com/selfsigned/-/selfsigned-1.10.7.tgz#da5819fd049d5574f28e88a9bcc6dbc6e6f3906b"
- integrity sha512-8M3wBCzeWIJnQfl43IKwOmC4H/RAp50S8DF60znzjW5GVqTcSe2vWclt7hmYVPkKPlHWOu5EaWOMZ2Y6W8ZXTA==
参考: https://github.com/yarnpkg/yarn/issues/4986#issuecomment-395036563