昨日投稿した expressjs の小さなアプリですが、githubに入れてみました。プライベートなものでそもそも大した機能はないのですが、汎用性(分析とレポート出力、設定管理やDBマイグレーションのサブシステムを加えれば有用性、可搬性が出ると思われます)をもたせることと顧客に由来する情報は全部削除して習作的に並べてみようという試みです。
githubからメールがいっぱい来ました。
- dependabot さんいわく:要約:「色々セキュリティ脆弱性あるコードがあるよ」
10年分の脆弱性検査分だから結構な数あります。 pg-promise みたいに核を成しているもの以外の node_module がいっぱい... ウゲエ
''それが要るのか要らないのか!?'' ということはさておいて、本日から純粋に保守だけするという観点で作業をします。 足したり引いたりは別な人がやることを前提にするので、コツコツ package.json をいじって都度を掛けてみました。
lodash とはなんだ?
- 軟弱なのでお助けを求める:【JavaScript】lodashの使い方
- 初見、dependabot が出してくる表記に惑わされます。何故か? ”Iodash" と見間違えて、散々探しました。そりゃ見つからんよ。 l/I の区別が!
- l(エル)odash の バージョン縛りを外したんですが、何故か上がりませんなぜですか?
- packge-lock.json に残ってしまってます。消しても良いのか? 結論:意味ないです。
→ 感謝:package-lock.json ってなに?
- 深掘ってみますと 二つ入っているみたいです...
"node_modules/inquirer/node_modules/lodash": {
"version": "3.10.1",
"resolved": "https://registry.npmjs.org/lodash/-/lodash-3.10.1.tgz",
"integrity": "sha512-9mDDwqVIma6OZX79ZlDACZl8sBm0TEnkf99zV3iMA4GzkIT/9hiqP5mY0HoT1iNLCrKc/R1HByV+yJfRWVJryQ==",
"dev": true,
"license": "MIT"
"node_modules/lodash": {
"version": "4.17.21",
"resolved": "https://registry.npmjs.org/lodash/-/lodash-4.17.21.tgz",
"integrity": "sha512-v2kDEe57lecTulaDIuNTPy3Ry4gLGJ6Z1O3vE1krgXZNrsQ+LFTGHVxVjcXPs17LhbZVGedAJv8XZ1tvj5FvSg==",
"license": "MIT"
},
- node_modules の 依存関係の tree とか無いのか? 探しましょう。
- 発見したもの1:まず理解を深めるに良さそう記事がありました。
npmの依存関係とv7のロックファイルについて調べてみた
npmの依存関係について勘違いしていたこと - 可視化ツールらしいものがありました。 → https://www.npmjs.com/package/dependency-tree
- さてどこから手を付けるか。 時間切れです。