Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationEventAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
2
Help us understand the problem. What are the problem?

More than 1 year has passed since last update.

Organization

GitHubで出たnpmのセキュリティアラートに対応する。

まだプロトタイプなので気にはしていないのだけれども、ずっとアラートが出っぱなしなのは嫌なので、ちょっと対策をしてみようと思いました。

FireShot Capture 6 - tukapai_manaka-bot_ manaka-bot - https___github.com_tukapai_manaka-bot.png

こんなやつ

簡単に調べたところ、package-lock.jsonに依存パッケージのアップデートを盛り込んで置けばいいみたいなので、こんな感じに修正しました。


"dependencies": {
    "mime-db": {
@@ -202,7 +202,7 @@
        "finalhandler": "0.4.0",
        "finalhandler": "0.4.0",
-       "fresh": "0.3.0",
+       "fresh": ">=0.5.2",
         }

ちなみに実際に修正したコミットはこんな感じ。

GitHub - fix security problem

npmとか結構依存モジュールが多いので定期的にこういったものは検証やアップデート対応が今後必要な気がします。

自分以外メンテナンスする人がいないので、めんどくさいと思う半面、自分で脆弱性対応を調査しなくてもいいというのは便利な機能でした。

参考にした記事

GitHubから通知されたセキュリティ上の脆弱性を解決する

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
2
Help us understand the problem. What are the problem?