まだプロトタイプなので気にはしていないのだけれども、ずっとアラートが出っぱなしなのは嫌なので、ちょっと対策をしてみようと思いました。
こんなやつ
簡単に調べたところ、package-lock.jsonに依存パッケージのアップデートを盛り込んで置けばいいみたいなので、こんな感じに修正しました。
"dependencies": {
"mime-db": {
@@ -202,7 +202,7 @@
"finalhandler": "0.4.0",
"finalhandler": "0.4.0",
- "fresh": "0.3.0",
+ "fresh": ">=0.5.2",
}
ちなみに実際に修正したコミットはこんな感じ。
npmとか結構依存モジュールが多いので定期的にこういったものは検証やアップデート対応が今後必要な気がします。
自分以外メンテナンスする人がいないので、めんどくさいと思う半面、自分で脆弱性対応を調査しなくてもいいというのは便利な機能でした。
参考にした記事