🎄teratailクリスマスプレゼントキャンペーン2024🎄』開催中!

\teratail特別グッズやAmazonギフトカード最大2,000円分が当たる!/

詳細はこちら
npm

npmは、Node Packaged Modulesの略。Node.jsのライブラリ・パッケージを管理できるツールです。様々なモジュールを簡単にインストールでき、自分でモジュールを作成し公開する際にも使用できます。

Node.js

Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

Q&A

解決済

1回答

3829閲覧

package.jsonの編集方法が分からずnpm audit問題が解消できません

pecchan

総合スコア591

npm

npmは、Node Packaged Modulesの略。Node.jsのライブラリ・パッケージを管理できるツールです。様々なモジュールを簡単にインストールでき、自分でモジュールを作成し公開する際にも使用できます。

Node.js

Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

0グッド

0クリップ

投稿2021/01/08 10:52

編集2021/01/08 10:53

初めてnpmを勉強してます。
的外れな質問してたらすみません。

実現したいこと

脆弱性の問題が出てますが、npm audit fixで解消できず。
手動で解消したい。

試したこと

対象は、「lodash」というパッケージになります。

npm ls lodashで確認すると、下から3番目のが3.10.1とバージョンが古かったです。
イメージ説明

以下によると、「package.json」を書き換えたら良いとありました。

node.jsで脆弱性のあるパッケージを手動で更新した

ですがpackage.jsonを開くとlodashには「4.17.20」と新しいものが指定されていました。
※一番下の行

json

1{ 2 "name": "frac", 3 "version": "1.0.0", 4 "description": "", 5 "main": "index.js", 6 "scripts": { 7 "test": "echo \"Error: no test specified\" && exit 1" 8 }, 9 "author": "", 10 "license": "ISC", 11 "dependencies": { 12 "@frctl/fractal": "^1.5.2" 13 }, 14 "devDependencies": { 15 "axios": "^0.21.1", 16 "lodash": "^4.17.20" 17 } 18} 19

他のページも調べました。
こちらのページでは、書き換えるのは、「package-lock.json」の方とあります。
npm audit fixで解決しないとき

なので
package-lock.json
を開き、
3.10.1のものを
4.17.20に変えて保存、npm installしました。

ですが、こうすると何度やっても
package-lock.jsonが作り直されます(上書きされる)。

どちらの情報に従っても解消できません。

分かる方教えて下さい。
宜しくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hoshi-takanori

2021/01/08 11:52

@frctl/fractal@1.5.2 の依存関係 vorpal@1.12.0 の依存関係 inquirer@0.11.0 の依存関係に lodash@3.10.1 がありますね。どうしたものか…。
pecchan

2021/01/08 12:14

有難う御座います。 そういう風に見ていったら良いのですね。 初めてなもので見方も知りませんでした。
guest

回答1

0

ベストアンサー

npmのサイトでvorpalを確認すると
バージョン1.12.0 • Public • Published 4 years ago
とあり、4年前から更新されていません。

inquirerを確認すると
バージョン7.3.3 • Public • Published 6 months ago
となっていますが、あなたのvorpal@1.12.0が依存しているinquirerは0.11.0ですね。

lodashが古いのは、vorpalが古すぎるのが原因だと思います。
vorpalの作者に相談してみてはいかがでしょう。(もっと新しいinquirerを使えと)

投稿2021/01/10 12:23

technocore

総合スコア7337

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

pecchan

2021/01/10 12:44

調べていただき有難う御座います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.36%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問