「それ本当に急いで対応するべき脆弱性?」でも、クリチカルと書かれたらセキュリティホールが気になるのが人の性。 strnh です。
package.json/node_modules の依存関係
- npm にいろいろなサブコマンドがあるのですが、しばしば "fund" 走らせてみろと示唆されています。 "基礎”がわかるということか?
strnh@pc:~/workdir/plating-solution-dataentry$ npm fund
dataentry @0.1.0
├─┬ https://opencollective.com/express
│ │ └── express@4.21.2
│ ├── https://github.com/sponsors/sindresorhus
│ │ └── merge-descriptors@1.0.3, string-width@5.1.2, p-map@7.0.3, ip-regex@5.0.0, binary-extensions@3.0.0
│ └── https://github.com/sponsors/feross
│ └── safe-buffer@5.2.1
├── https://github.com/sponsors/ljharb
│ └── qs@6.13.0, side-channel@1.1.0, object-inspect@1.13.3, side-channel-list@1.0.0, side-channel-map@1.0.1, call-bound@1.0.3, function-bind@1.1.2, get-intrinsic@1.2.7, gopd@1.2.0, has-symbols@1.1.0, side-channel-weakmap@1.0.2, minimist@1.2.8
├── https://github.com/chalk/chalk?sponsor=1
│ └── chalk@5.4.1
├── https://github.com/sponsors/sibiraj-s
│ └── ci-info@4.1.0
├── https://github.com/sponsors/isaacs
│ └── glob@10.4.5, foreground-child@3.3.0, jackspeak@3.4.3, path-scurry@1.11.1, minimatch@9.0.5, json-stringify-nice@1.1.4, promise-all-reject-late@1.0.1, promise-call-limit@3.0.2, signal-exit@4.1.0, mkdirp@3.0.1, rimraf@5.0.10
└── https://github.com/chalk/supports-color?sponsor=1
└── supports-color@9.4.0
特別に可視化するツールを用意する必要なかった?? (と思うのはまだ早かった)
npm でわからんなら yarn 🐈
- npm 以外にもすがろうと思います(浮気はトラブルのもと?)
$ yarn init
yarn init v1.22.19
error package.json: Name contains illegal characters
info Visit https://yarnpkg.com/en/docs/cli/init for documentation about this command.
* "Name" に異常なキャラクタが含まれている? うっかりCJK文字列でも突っ込んだかと思って strings でフィルタしましたが改善しない。
- FIX: repository 名を変えたときに package.json も修正したんですが, "name" の文字列に " "を加えていました。npm は無視してましたが、yarn は指摘して動きさえしません。
strnh@pc:~/workdir/plating-solution-dataentry$ yarn
yarn install v1.22.19
info No lockfile found.
(node:1543101) [DEP0040] DeprecationWarning: The `punycode` module is deprecated. Please use a userland alternative instead.
(Use `node --trace-deprecation ...` to show where the warning was created)
warning package-lock.json found. Your project contains lock files generated by tools other than Yarn. It is advised not to mix package managers in order to avoid resolution inconsistencies caused by unsynchronized lock files. To clear this warning, remove package-lock.json.
[1/4] Resolving packages...
warning eslint@0.24.1: This version is no longer supported. Please see https://eslint.org/version-support for other options.
warning eslint > minimatch@2.0.10: Please update to minimatch 3.0.2 or higher to avoid a RegExp DoS issue
[2/4] Fetching packages...
[3/4] Linking dependencies...
warning " > pg-promise@11.10.2" has unmet peer dependency "pg-query-stream@4.7.1".
warning Workspaces can only be enabled in private projects.
[4/4] Building fresh packages...
success Saved lockfile.
warning Your current version of Yarn is out of date. The latest version is "1.22.22", while you're on "1.22.19".
info To upgrade, run the following command:
$ curl --compressed -o- -L https://yarnpkg.com/install.sh | bash
Done in 13.63s.
- lodash のバージョンは変わりません。振り出しに。
lodash ふたたび
- lodash の古いバージョンがどこから来るのかを探っていました。package-lock.json を見てみます。
"node_modules/inquirer": {
"version": "0.8.5",
"resolved": "https://registry.npmjs.org/inquirer/-/inquirer-0.8.5.tgz",
"integrity": "sha512-+rksrtdqQ8do7yOsmP5YIgbSdbZYuCIrnfH5vjFYGAr1XgJpMksb3rFZMJ3jiKuUyDVEA4MVDYbkA3ribJn3Tg==",
"dev": true,
"license": "MIT",
"dependencies": {
"ansi-regex": "^1.1.1",
"chalk": "^1.0.0",
"cli-width": "^1.0.1",
"figures": "^1.3.5",
"lodash": "^3.3.1",
"readline2": "^0.1.1",
"rx": "^2.4.3",
"through": "^2.3.6"
}
},
"inquirer" サンさんに依存関係を掴まれていた模様です。これを上げなきゃ lodashも上がるはずがないだろうというところです。さて node_modules/inquirer さんを調べました。
- inquirer の 現行バージョンが・・・
https://www.npmjs.com/package/inquirer
"12.4.1" と 大きく成長していました(入っているの0.8.xだもんな)・・・ - package.json には "inquirer" の記述がないのでこれも上位に依存している?
結論: eslint 0.24.1 に引っ張られていました。
依存関係の連鎖は、npm fund でも詳しくは見れません。
- yarn audit してみたらどうだろう?
strnh@pc:~/workdir/plating-solution-dataentry$ yarn audit
yarn audit v1.22.19
(node:1569068) [DEP0040] DeprecationWarning: The `punycode` module is deprecated. Please use a userland alternative instead.
(Use `node --trace-deprecation ...` to show where the warning was created)
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate │ Regular Expression Denial of Service (ReDoS) in lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.11 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ eslint > inquirer > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1085674 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Regular Expression Denial of Service in minimatch │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimatch │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ eslint > minimatch │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1093710 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Prototype Pollution in lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.11 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ eslint > inquirer > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1094499 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate │ Regular Expression Denial of Service (ReDoS) in lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.21 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ eslint > inquirer > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1094500 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Prototype Pollution in lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.19 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ eslint > inquirer > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096305 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ minimatch ReDoS vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimatch │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ eslint > minimatch │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096485 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Command Injection in lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.21 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ eslint > inquirer > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096996 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate │ Prototype Pollution in lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ eslint > inquirer > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1097130 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical │ Prototype Pollution in lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.12 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ eslint > inquirer > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1097140 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Regular Expression Denial of Service in fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.5.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ serve-favicon │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ serve-favicon > fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1093570 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate │ Vercel ms Inefficient Regular Expression Complexity │
│ │ vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ms │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=2.0.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ serve-favicon │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ serve-favicon > ms │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1094419 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ low │ cookie accepts cookie name, path, and domain with out of │
│ │ bounds characters │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.7.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ cookie-parser │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ cookie-parser > cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1099846 │
└───────────────┴──────────────────────────────────────────────────────────────┘
12 vulnerabilities found - Packages audited: 408
Severity: 1 Low | 4 Moderate | 6 High | 1 Critical
Done in 0.57s.
- これですこれです。yarn のほうが良いねぇとなりそうな今日この頃です。🐈
│ Dependency of │ eslint │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ eslint > inquirer > lodash
- eslint のバージョン縛りを解きましょう。
https://github.com/eslint/eslint/releases → "v9.19.0" にまで上がってました。10年経つとこれです。これは刑務所出所の気分(したことないけど)
$ yarn install v1.22.19
warning package-lock.json found. Your project contains lock files generated by tools other than Yarn. It is advised not to mix package managers in order to avoid resolution inconsistencies caused by unsynchronized lock files. To clear this warning, remove package-lock.json.
[1/4] Resolving packages...
⠁ (node:1577987) [DEP0040] DeprecationWarning: The `punycode` module is deprecated. Please use a userland alternative instead.
(Use `node --trace-deprecation ...` to show where the warning was created)
[2/4] Fetching packages...
[3/4] Linking dependencies...
warning " > pg-promise@11.10.2" has unmet peer dependency "pg-query-stream@4.7.1".
warning Workspaces can only be enabled in private projects.
[4/4] Building fresh packages...
success Saved lockfile.
Done in 1.39s.
strnh@pc:~/workdir/plating-solution-dataentry$ yarn audit
yarn audit v1.22.19
(node:1578120) [DEP0040] DeprecationWarning: The `punycode` module is deprecated. Please use a userland alternative instead.
(Use `node --trace-deprecation ...` to show where the warning was created)
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Regular Expression Denial of Service in fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.5.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ serve-favicon │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ serve-favicon > fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1093570 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate │ Vercel ms Inefficient Regular Expression Complexity │
│ │ vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ms │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=2.0.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ serve-favicon │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ serve-favicon > ms │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1094419 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ low │ cookie accepts cookie name, path, and domain with out of │
│ │ bounds characters │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.7.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ cookie-parser │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ cookie-parser > cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1099846 │
└───────────────┴──────────────────────────────────────────────────────────────┘
3 vulnerabilities found - Packages audited: 415
Severity: 1 Low | 1 Moderate | 1 High
Done in 0.38s.
- yarn で検査した分は大幅に減ったのですが、dependabot からは指摘が来ます。
- "package-lock.json を消せ” yarn 🐈 の示唆。
warning package-lock.json found. Your project contains lock files generated by tools other than Yarn. It is advised not to mix package managers in order to avoid resolution inconsistencies caused by unsynchronized lock files. To clear this warning, remove package-lock.json.
- yarn に全てを預けます。 npm サンさようなら。
hiko@ryzen5700-pc:~/workdir/plating-solution-dataentry$ yarn upgrade
yarn upgrade v1.22.19
(node:1588157) [DEP0040] DeprecationWarning: The `punycode` module is deprecated. Please use a userland alternative instead.
(Use `node --trace-deprecation ...` to show where the warning was created)
[1/4] Resolving packages...
[2/4] Fetching packages...
[3/4] Linking dependencies...
warning " > pg-promise@11.10.2" has unmet peer dependency "pg-query-stream@4.7.1".
warning Workspaces can only be enabled in private projects.
[4/4] Rebuilding all packages...
success Saved lockfile.
warning Workspaces can only be enabled in private projects.
success Saved 246 new dependencies.
info Direct dependencies
├─ async@3.2.6
├─ bluebird@3.7.2
├─ body-parser@1.20.3
├─ config@3.3.12
├─ cookie-parser@1.3.5
├─ date-utils@1.2.21
├─ ejs@3.1.10
├─ eslint@9.19.0
├─ express@4.21.2
├─ iconv@3.0.1
├─ JSON@1.0.0
├─ json@11.0.0
├─ lodash@4.17.21
├─ morgan@1.10.0
├─ npm@11.1.0
├─ pg-monitor@2.1.0
├─ pg-promise@11.10.2
├─ pg@8.13.1
└─ serve-favicon@2.3.2
info All dependencies
├─ @eslint-community/eslint-utils@4.4.1
├─ @eslint-community/regexpp@4.12.1
├─ @eslint/config-array@0.19.2
├─ @eslint/eslintrc@3.2.0
├─ @eslint/js@9.19.0
├─ @eslint/object-schema@2.1.6
├─ @eslint/plugin-kit@0.2.5
├─ @humanfs/core@0.19.1
├─ @humanfs/node@0.16.6
├─ @humanwhocodes/module-importer@1.0.1
├─ @humanwhocodes/retry@0.4.1
├─ @isaacs/cliui@8.0.2
├─ @isaacs/fs-minipass@4.0.1
├─ @npmcli/agent@3.0.0
├─ @npmcli/config@10.0.1
├─ @npmcli/metavuln-calculator@9.0.0
├─ @npmcli/query@4.0.0
├─ @pkgjs/parseargs@0.11.0
├─ @sigstore/sign@3.0.0
├─ @sigstore/verify@2.0.0
├─ @tufjs/canonical-json@2.0.0
├─ @tufjs/models@3.0.1
├─ @types/estree@1.0.6
├─ accepts@1.3.8
├─ acorn-jsx@5.3.2
├─ acorn@8.14.0
├─ ansi-styles@4.3.0
├─ archy@1.0.0
├─ argparse@2.0.1
├─ array-flatten@1.1.1
├─ assert-options@0.8.2
├─ async@3.2.6
├─ basic-auth@2.0.1
├─ bin-links@5.0.0
├─ binary-extensions@3.0.0
├─ bluebird@3.7.2
├─ body-parser@1.20.3
├─ callsites@3.1.0
├─ chalk@4.1.2
├─ chownr@2.0.0
├─ cidr-regex@4.1.1
├─ cli-color@2.0.4
├─ cli-columns@4.0.0
├─ cmd-shim@7.0.0
├─ color-convert@2.0.1
├─ color-name@1.1.4
├─ common-ancestor-path@1.0.1
├─ concat-map@0.0.1
├─ config@3.3.12
├─ content-disposition@0.5.4
├─ content-type@1.0.5
├─ cookie-parser@1.3.5
├─ cookie@0.1.3
├─ cross-spawn@7.0.6
├─ cssesc@3.0.0
├─ date-utils@1.2.21
├─ deep-is@0.1.4
├─ depd@2.0.0
├─ diff@7.0.0
├─ dunder-proto@1.0.1
├─ eastasianwidth@0.2.0
├─ ejs@3.1.10
├─ encoding@0.1.13
├─ env-paths@2.2.1
├─ err-code@2.0.3
├─ es-define-property@1.0.1
├─ es5-ext@0.10.64
├─ es6-weak-map@2.0.3
├─ escape-string-regexp@4.0.0
├─ eslint-scope@8.2.0
├─ eslint@9.19.0
├─ esniff@2.0.1
├─ espree@10.3.0
├─ esquery@1.6.0
├─ esrecurse@4.3.0
├─ esutils@2.0.3
├─ exponential-backoff@3.1.1
├─ express@4.21.2
├─ ext@1.7.0
├─ fast-deep-equal@3.1.3
├─ fast-json-stable-stringify@2.1.0
├─ fast-levenshtein@2.0.6
├─ fastest-levenshtein@1.0.16
├─ file-entry-cache@8.0.0
├─ filelist@1.0.4
├─ finalhandler@1.3.1
├─ find-up@5.0.0
├─ flat-cache@4.0.1
├─ flatted@3.3.2
├─ foreground-child@3.3.0
├─ forwarded@0.2.0
├─ get-intrinsic@1.2.7
├─ get-proto@1.0.1
├─ glob-parent@6.0.2
├─ glob@10.4.5
├─ globals@14.0.0
├─ graceful-fs@4.2.11
├─ has-flag@4.0.0
├─ has-symbols@1.1.0
├─ hasown@2.0.2
├─ http-cache-semantics@4.1.1
├─ http-proxy-agent@7.0.2
├─ https-proxy-agent@7.0.6
├─ iconv@3.0.1
├─ ignore-walk@7.0.0
├─ import-fresh@3.3.1
├─ inherits@2.0.4
├─ init-package-json@8.0.0
├─ ip-address@9.0.5
├─ ip-regex@5.0.0
├─ ipaddr.js@1.9.1
├─ is-cidr@5.1.0
├─ is-extglob@2.1.1
├─ is-glob@4.0.3
├─ is-promise@2.2.2
├─ isexe@3.1.1
├─ jackspeak@3.4.3
├─ jake@10.9.2
├─ js-yaml@4.1.0
├─ jsbn@1.1.0
├─ json-buffer@3.0.1
├─ json-schema-traverse@0.4.1
├─ json-stable-stringify-without-jsonify@1.0.1
├─ json-stringify-nice@1.1.4
├─ JSON@1.0.0
├─ json@11.0.0
├─ jsonparse@1.3.1
├─ just-diff-apply@5.5.0
├─ just-diff@6.0.2
├─ keyv@4.5.4
├─ libnpmaccess@10.0.0
├─ libnpmdiff@8.0.0
├─ libnpmexec@10.0.0
├─ libnpmfund@7.0.0
├─ libnpmorg@8.0.0
├─ libnpmpack@9.0.0
├─ libnpmpublish@11.0.0
├─ libnpmsearch@9.0.0
├─ libnpmteam@8.0.0
├─ libnpmversion@8.0.0
├─ locate-path@6.0.0
├─ lodash.merge@4.6.2
├─ lodash@4.17.21
├─ lru-queue@0.1.0
├─ math-intrinsics@1.1.0
├─ media-typer@0.3.0
├─ memoizee@0.4.17
├─ merge-descriptors@1.0.3
├─ methods@1.1.2
├─ mime-db@1.52.0
├─ mime-types@2.1.35
├─ mime@1.6.0
├─ minipass-collect@2.0.1
├─ minipass-sized@1.0.3
├─ mkdirp@1.0.4
├─ morgan@1.10.0
├─ ms@2.1.3
├─ mute-stream@2.0.0
├─ natural-compare@1.4.0
├─ negotiator@0.6.3
├─ npm-audit-report@6.0.0
├─ npm-bundled@4.0.0
├─ npm-packlist@10.0.0
├─ npm-profile@11.0.1
├─ npm-user-validate@3.0.0
├─ npm@11.1.0
├─ on-headers@1.0.2
├─ optionator@0.9.4
├─ p-limit@3.1.0
├─ p-locate@5.0.0
├─ p-map@7.0.3
├─ package-json-from-dist@1.0.1
├─ parent-module@1.0.1
├─ parseurl@1.3.3
├─ path-exists@4.0.0
├─ path-key@3.1.1
├─ path-scurry@1.11.1
├─ path-to-regexp@0.1.12
├─ pg-cloudflare@1.1.1
├─ pg-connection-string@2.7.0
├─ pg-int8@1.0.1
├─ pg-minify@1.6.5
├─ pg-monitor@2.1.0
├─ pg-pool@3.7.0
├─ pg-promise@11.10.2
├─ pg-protocol@1.7.0
├─ pg-types@2.2.0
├─ pg@8.13.1
├─ pgpass@1.0.5
├─ postcss-selector-parser@6.1.2
├─ postgres-array@2.0.0
├─ postgres-bytea@1.0.0
├─ postgres-date@1.0.7
├─ postgres-interval@1.2.0
├─ proggy@3.0.0
├─ promise-all-reject-late@1.0.1
├─ promise-call-limit@3.0.2
├─ promise-inflight@1.0.1
├─ promzard@2.0.0
├─ proxy-addr@2.0.7
├─ punycode@2.3.1
├─ qrcode-terminal@0.12.0
├─ raw-body@2.5.2
├─ read-cmd-shim@5.0.0
├─ resolve-from@4.0.0
├─ retry@0.12.0
├─ rimraf@5.0.10
├─ safer-buffer@2.1.2
├─ serve-favicon@2.3.2
├─ serve-static@1.16.2
├─ shebang-command@2.0.0
├─ shebang-regex@3.0.0
├─ side-channel-list@1.0.0
├─ side-channel-weakmap@1.0.2
├─ side-channel@1.1.0
├─ smart-buffer@4.2.0
├─ socks-proxy-agent@8.0.5
├─ socks@2.8.3
├─ spdx-correct@3.2.0
├─ spex@3.4.0
├─ split2@4.2.0
├─ sprintf-js@1.1.3
├─ string-width-cjs@4.2.3
├─ string-width@4.2.3
├─ strip-ansi-cjs@6.0.1
├─ strip-ansi@6.0.1
├─ strip-json-comments@3.1.1
├─ supports-color@7.2.0
├─ text-table@0.2.0
├─ tiny-relative-date@1.3.0
├─ toidentifier@1.0.1
├─ tuf-js@3.0.1
├─ type-check@0.4.0
├─ unique-filename@4.0.0
├─ unique-slug@5.0.0
├─ unpipe@1.0.0
├─ uri-js@4.4.1
├─ util-deprecate@1.0.2
├─ utils-merge@1.0.1
├─ vary@1.1.2
├─ word-wrap@1.2.5
├─ wrap-ansi-cjs@7.0.0
├─ wrap-ansi@8.1.0
├─ write-file-atomic@6.0.0
├─ xtend@4.0.2
└─ yocto-queue@0.1.0
Done in 8.44s.
- yarn に宗旨替えしてgit push して dependabotからのご託宣を聞きますと:
remote: GitHub found 17 vulnerabilities on strnh/plating-solution-dataentry's default branch (1 critical, 9 high, 5 moderate, 2 low)
なぜでしょう。減らないですね・・・ 続きます。