Angularで何かを作ろうとするとき、ng new project-nameして新しいプロジェクトを作成するわけですが、するとnpmが脆弱性のあるパッケージがあるからnpm audit fixして修正するか、それが無理だったらnpm auditして原因を確認して手動で修正してね、と言ってくることがあります。
調べてみるとnode-gyp@3.8.0がtar@2.0.0に依存していて、tarは4.4.2より前だと脆弱性があるんですね。
解決策をググってみても、どうもピンと来る解決策をズバリ書いている記事に出会わない...
そこで結論をズバリ書きますね。
npm install node-gyp -g
こうすると、node-gyp@4.0.0がグローバルに入るので、これで問題が解決します。