Edited at

GitHubで出たnpmのセキュリティアラートに対応する。

まだプロトタイプなので気にはしていないのだけれども、ずっとアラートが出っぱなしなのは嫌なので、ちょっと対策をしてみようと思いました。

FireShot Capture 6 - tukapai_manaka-bot_ manaka-bot - https___github.com_tukapai_manaka-bot.png

こんなやつ

簡単に調べたところ、package-lock.jsonに依存パッケージのアップデートを盛り込んで置けばいいみたいなので、こんな感じに修正しました。


"dependencies": {
"mime-db": {
@@ -202,7 +202,7 @@
"finalhandler": "0.4.0",
"finalhandler": "0.4.0",
- "fresh": "0.3.0",
+ "fresh": ">=0.5.2",
}

ちなみに実際に修正したコミットはこんな感じ。

GitHub - fix security problem

npmとか結構依存モジュールが多いので定期的にこういったものは検証やアップデート対応が今後必要な気がします。

自分以外メンテナンスする人がいないので、めんどくさいと思う半面、自分で脆弱性対応を調査しなくてもいいというのは便利な機能でした。

参考にした記事

GitHubから通知されたセキュリティ上の脆弱性を解決する