gulp導入時 pm パッケージのバージョンアップと脆弱性対応 脆弱性ファイルへの対応
解決したいこと
npm パッケージのバージョンアップと脆弱性対応 脆弱性ファイルへの対応
例)
だいぶここで低迷しているのでお知恵を拝借したいです。
gulpを導入してサイト構築環境をしたいのですが、以前は(1~2年前)はインストールしても脆弱性を含むファイルはなかったのに、今出てきます。
ファイルが依存関係にあり、依存先が必要としているバージョンに脆弱性を含んでいるとエラーがでる。依存元のバージョンを変えなければならない?のか。
ちなみにgulpはローカルにインストールしています。
そもそもがguipを導入した時に、脆弱性を含むフィアルがなぜインストールされるのか。
バージョンをアップしてそのままインストールしてくれないのか。
発生している問題・エラー
出ているエラーメッセージを入力
set-value 3.0.0 - 4.0.0
Severity: high
Prototype Pollution in set-value - https://github.com/advisories/GHSA-4jqc-8m5r-9rpr
fix available via `npm audit fix --force`
Will install union-value@2.0.0, which is a breaking change
node_modules/union-value/node_modules/set-value
union-value >=2.0.1
Depends on vulnerable versions of set-value
node_modules/union-value
2 high severity vulnerabilities
To address all issues (including breaking changes), run:
npm audit fix --force
または、問題・エラーが起きている画像をここにドラッグアンドドロップ
### 該当するソースコード
"node_modules/gulp-cli/node_modules/cache-base": {
"version": "1.0.1",
"resolved": "https://registry.npmjs.org/cache-base/-/cache-base-1.0.1.tgz",
"integrity": "sha512-AKcdTnFSWATd5/GCPRxr2ChwIJ85CeyrEyjRHlKxQ56d4XJMGym0uAiKn0xbLOGOl3+yRpOTi484dVCEc5AUzQ==",
"dependencies": {
"collection-visit": "^1.0.0",
"component-emitter": "^1.2.1",
"get-value": "^2.0.6",
"has-value": "^1.0.0",
"isobject": "^3.0.1",
"set-value": "^2.0.0",
"to-object-path": "^0.3.0",
"union-value": "^1.0.0",
"unset-value": "^1.0.0"
},
### 自分で試したこと
・packageのバージョンをアップ
・一度LockFileを削除してまたインストールし直す
・node moduleの削除・再インストール
強制的にLockFileを書き換え(NG行為と知りながら)
0
