LoginSignup
tamagototuna38
@tamagototuna38

Are you sure you want to delete the question?

If your question is resolved, you may close it.

Leaving a resolved question undeleted may help others!

We hope you find it useful!

gulp導入時 pm パッケージのバージョンアップと脆弱性対応 脆弱性ファイルへの対応

Q&A
npmバージョンアップ脆弱性gulp

解決したいこと

npm パッケージのバージョンアップと脆弱性対応 脆弱性ファイルへの対応

例)
だいぶここで低迷しているのでお知恵を拝借したいです。

gulpを導入してサイト構築環境をしたいのですが、以前は(1~2年前)はインストールしても脆弱性を含むファイルはなかったのに、今出てきます。
ファイルが依存関係にあり、依存先が必要としているバージョンに脆弱性を含んでいるとエラーがでる。依存元のバージョンを変えなければならない?のか。

ちなみにgulpはローカルにインストールしています。
そもそもがguipを導入した時に、脆弱性を含むフィアルがなぜインストールされるのか。
バージョンをアップしてそのままインストールしてくれないのか。

発生している問題・エラー

出ているエラーメッセージを入力
set-value  3.0.0 - 4.0.0
Severity: high
Prototype Pollution in set-value - https://github.com/advisories/GHSA-4jqc-8m5r-9rpr
fix available via `npm audit fix --force`
Will install union-value@2.0.0, which is a breaking change
node_modules/union-value/node_modules/set-value
  union-value  >=2.0.1
  Depends on vulnerable versions of set-value
  node_modules/union-value

2 high severity vulnerabilities

To address all issues (including breaking changes), run:
  npm audit fix --force





または、問題・エラーが起きている画像をここにドラッグアンドドロップ

### 該当するソースコード
 "node_modules/gulp-cli/node_modules/cache-base": {
      "version": "1.0.1",
      "resolved": "https://registry.npmjs.org/cache-base/-/cache-base-1.0.1.tgz",
      "integrity": "sha512-AKcdTnFSWATd5/GCPRxr2ChwIJ85CeyrEyjRHlKxQ56d4XJMGym0uAiKn0xbLOGOl3+yRpOTi484dVCEc5AUzQ==",
      "dependencies": {
        "collection-visit": "^1.0.0",
        "component-emitter": "^1.2.1",
        "get-value": "^2.0.6",
        "has-value": "^1.0.0",
        "isobject": "^3.0.1",
        "set-value": "^2.0.0",
        "to-object-path": "^0.3.0",
        "union-value": "^1.0.0",
        "unset-value": "^1.0.0"
      },



### 自分で試したこと
・packageのバージョンをアップ
・一度LockFileを削除してまたインストールし直す
・node moduleの削除・再インストール
強制的にLockFileを書き換え(NG行為と知りながら)
0

1Answer

uasi
@uasi

依存元のバージョンを変えなければならない?のか。

特にできることはありません。

一般的に言って、 npm パッケージの脆弱性は第三者から悪意のある入力を受け付けたときに危険が生じるものがほとんどです。本番環境のサーバアプリケーションなどに脆弱性があるとまずいですが、ローカルで動かす(それも自分が作ったファイルを与えて動かす) gulp のようなツールの依存関係に脆弱性があっても心配する必要はあまりありません。

そもそもがguipを導入した時に、脆弱性を含むフィアルがなぜインストールされるのか。

gulp は3年以上メンテナンスされていません。当時問題がなかったパッケージに後から脆弱性が発見されたのでしょう。

バージョンをアップしてそのままインストールしてくれないのか。

gulp 自体の package.json に書かれた依存関係のバージョン範囲内でなら最新バージョンをインストールしますが、脆弱性を直したバージョンがその範囲外であればインストールはしてくれません。

1

Comments

  1. @tamagototuna38

    Questioner

    ご回答ありがとうございます!
    いくら調べても情報が出てこず、疲弊していました。
    確かに、SASSのコンパイルPackageをインストール、無事コンパイルすることは出来ました。
    これはもう無視していい、ということなのですね。
    やっと次にいけます。ありがとうございました。

Your answer might help someone💌

LoginSign Up

Popular Questions