LoginSignup
2

More than 3 years have passed since last update.

posted at

updated at

Organization

GitHubで出たnpmのセキュリティアラートに対応する。

まだプロトタイプなので気にはしていないのだけれども、ずっとアラートが出っぱなしなのは嫌なので、ちょっと対策をしてみようと思いました。

FireShot Capture 6 - tukapai_manaka-bot_ manaka-bot - https___github.com_tukapai_manaka-bot.png

こんなやつ

簡単に調べたところ、package-lock.jsonに依存パッケージのアップデートを盛り込んで置けばいいみたいなので、こんな感じに修正しました。


"dependencies": {
    "mime-db": {
@@ -202,7 +202,7 @@
        "finalhandler": "0.4.0",
        "finalhandler": "0.4.0",
-       "fresh": "0.3.0",
+       "fresh": ">=0.5.2",
         }

ちなみに実際に修正したコミットはこんな感じ。

GitHub - fix security problem

npmとか結構依存モジュールが多いので定期的にこういったものは検証やアップデート対応が今後必要な気がします。

自分以外メンテナンスする人がいないので、めんどくさいと思う半面、自分で脆弱性対応を調査しなくてもいいというのは便利な機能でした。

参考にした記事

GitHubから通知されたセキュリティ上の脆弱性を解決する

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
2