Q&A
前提・実現したいこと
npm install を正常に実施したいです。
お知恵を貸してください。
発生している問題・エラーメッセージ
npm installをする
$ npm install audited 15173 packages in 4.896s found 9 vulnerabilities (2 low, 6 moderate, 1 high) run `npm audit fix` to fix them, or `npm audit` for details
試したこと
脆弱性のエラーが出ているみたいです。
エラーの 1 high の原因を見てみる
$ npm audit (以下、Highを抜粋した結果です) === npm audit security report === # Run npm update null --depth 2 to resolve 1 vulnerability ・ ・ ・ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Code Injection │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ js-yaml │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=3.13.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ laravel-elixir-vue-2 [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ laravel-elixir-vue-2 > css-loader > cssnano > postcss-svgo > │ │ │ svgo > js-yaml │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/813 │ └───────────────┴──────────────────────────────────────────────────────────────┘
js-yamlが対象みたい。
Run npm update null --depth 2 to resolve 1 vulnerability
を実行しろと出ているので実施して $ npm install する。
$ npm update null --depth $ npm install audited 15173 packages in 4.554s found 9 vulnerabilities (2 low, 6 moderate, 1 high) run `npm audit fix` to fix them, or `npm audit` for details
$ npm audit fix を実行してみる。
$ npm audit fix up to date in 3.374s fixed 1 of 9 vulnerabilities in 15173 scanned packages 8 vulnerabilities required manual review and could not be updated
$ npm install してみる。
$ npm install audited 15173 packages in 4.601s found 9 vulnerabilities (2 low, 6 moderate, 1 high) run `npm audit fix` to fix them, or `npm audit` for details
結果変わらず。
環境構築系に弱いこともあり、ここから先が調べても全然打つ手なしの状況です。
該当のソースコード
package.json
json
1{ 2 "private": true, 3 "scripts": { 4 "prod": "gulp --production", 5 "dev": "gulp watch" 6 }, 7 "devDependencies": { 8 "bootstrap-sass": "^3.3.7", 9 "gulp": "^4.0.2", 10 "jquery": "^3.1.0", 11 "laravel-elixir": "^6.0.0-9", 12 "laravel-elixir-vue-2": "^0.2.0", 13 "laravel-elixir-webpack-official": "^1.0.2", 14 "lodash": "^4.16.2", 15 "vue": "^2.6.10", 16 "vue-resource": "^1.0.3" 17 } 18}
js-yaml がpackage.jsonに記述がないのに $ npm audit でhighで出力されてしまっている。
ただし最初にpackage.jsonに js-yaml の記載はあったが、悪さしていると思って行を削除し $ npm install を実施している。
### バージョン(不要な情報があるかもしれませんが) npm: 6.12.0 node: v12.13.0 nodenv: 1.3.0 nodebrew: 不明(nodebrew -vで何も出力されない)
回答1件
0
ベストアンサー
依存関係上、auditが出てもどうしようもない(他のモジュールが脆弱性のあるバージョンを指定してあるため、通常の方法ではそのまま残し続けるしかない)こともあります。
npm updateしても残り続けるのであれば、とりあえず無視するしかないかもしれません。
投稿2019/10/30 08:25
総合スコア145899
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/10/30 08:31 編集
2019/10/30 08:34
2019/10/30 08:39