質問編集履歴
2
誤字の修正
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -7,7 +7,7 @@
|
|
|
7
7
|
|
|
8
8
|
0. 実際にNode.jsで運用しているプロダクトではどこまで対応されているのでしょうか
|
|
9
9
|
脆弱性を突かれる可能性は低いため気にしなくて良いという意見も目にします。
|
|
10
|
-
脆弱性警告を残したまま
|
|
10
|
+
脆弱性警告を残したまま運用しているのでしょうか?
|
|
11
11
|
0. 私が試した事以外に対応方法があればご教示いただきたく思います
|
|
12
12
|
|
|
13
13
|
### 発生している問題・エラーメッセージ
|
1
npm audit fix コマンド実行について追記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -49,14 +49,18 @@
|
|
|
49
49
|
|
|
50
50
|
### 試したことと懸念点
|
|
51
51
|
|
|
52
|
+
#### 1, `npm audit fix`コマンドを実行
|
|
53
|
+
|
|
54
|
+
効果はありませんでした。
|
|
55
|
+
|
|
52
|
-
#### package-lock.jsonを直接書き換える
|
|
56
|
+
#### 2, package-lock.jsonを直接書き換える
|
|
53
57
|
警告の出ている依存パッケージのバージョンを最新版にバージョン番号を直接書き換えることで警告は消えました。
|
|
54
58
|
|
|
55
59
|
- package-lock.jsonはそもそも手動で更新することが想定されていない
|
|
56
60
|
- `npm i`を実行すると元の記述に戻ってしまう
|
|
57
61
|
- 各パッケージで動作保証の取れていないバージョンを使用することになるため動作が保証されない
|
|
58
62
|
|
|
59
|
-
#### package.jsonのresolutionsフィールドを使用する
|
|
63
|
+
#### 3, package.jsonのresolutionsフィールドを使用する
|
|
60
64
|
|
|
61
65
|
特定のパッケージバージョンを固定する方法です。
|
|
62
66
|
こちらの記事を参考にさせていただきました。
|
|
@@ -64,7 +68,7 @@
|
|
|
64
68
|
|
|
65
69
|
- 前述のpackage-lock.jsonを直接書き換えるのと同義で動作保証の取れていないバージョンを使用することになる
|
|
66
70
|
|
|
67
|
-
#### 各依存パッケージが更新されるのを待つ
|
|
71
|
+
#### 4, 各依存パッケージが更新されるのを待つ
|
|
68
72
|
|
|
69
73
|
もっとも確実な方法だと思います。
|
|
70
74
|
が、以下の懸念点があります。
|