Angularで何かを作ろうとするとき、ng new project-name
して新しいプロジェクトを作成するわけですが、するとnpmが脆弱性のあるパッケージがあるからnpm audit fix
して修正するか、それが無理だったらnpm audit
して原因を確認して手動で修正してね、と言ってくることがあります。
調べてみるとnode-gyp@3.8.0がtar@2.0.0に依存していて、tarは4.4.2より前だと脆弱性があるんですね。
解決策をググってみても、どうもピンと来る解決策をズバリ書いている記事に出会わない...
そこで結論をズバリ書きますね。
npm install node-gyp -g
こうすると、node-gyp@4.0.0がグローバルに入るので、これで問題が解決します。