回答編集履歴
3
Fix answer
answer
CHANGED
|
@@ -1,5 +1,15 @@
|
|
|
1
|
-
#
|
|
1
|
+
## 修正した回答
|
|
2
2
|
|
|
3
|
+
> 1 lodash vulnerability found in pictionarizer-ui/yarn.lock
|
|
4
|
+
|
|
5
|
+
原因は `npm` ではなく `yarn` のようです
|
|
6
|
+
|
|
7
|
+
`yarn` コマンドを実行して `yarn.lock` ファイルを更新することで
|
|
8
|
+
Dependency alert が解消することが期待できます
|
|
9
|
+
[yarn install | Yarn](https://classic.yarnpkg.com/ja/docs/cli/install)
|
|
10
|
+
|
|
11
|
+
## 元の回答
|
|
12
|
+
|
|
3
13
|
公式ドキュメントを確認しましたが、この振る舞いについては特に記述は見つかりませんでした
|
|
4
14
|
(そして、npm 5 がリリースされているため、すでに `--save` オプションに関する記述はなくなっていました)
|
|
5
15
|
[npm-install | npm Documentation](https://docs.npmjs.com/cli/install)
|
2
Fix answer
answer
CHANGED
|
@@ -32,4 +32,24 @@
|
|
|
32
32
|
という指定をしてしまっていることを意味します
|
|
33
33
|
|
|
34
34
|
`4.17.19` に満たないバージョンはセキュリティの問題があることが通知されていますので、
|
|
35
|
-
`^4.17.19` となるように `npm update` を実行するべきです
|
|
35
|
+
`^4.17.19` となるように `npm update` を実行するべきです
|
|
36
|
+
|
|
37
|
+
> さきほど確認してみたら、
|
|
38
|
+
> package.jsonは4.17.19になっているのに対して、
|
|
39
|
+
> package-lock.jsonの中には^4.17.13という定義をされている箇所が
|
|
40
|
+
> いくつかあるようでした。
|
|
41
|
+
> "@babel/core": {"requires": {"lodash": "^4.17.13", ...}} みたいな感じです。
|
|
42
|
+
> たぶんこれらが「バージョンが古い」とみなされているのかなと思います。
|
|
43
|
+
> npm updateを実行した後でもこうだったので、
|
|
44
|
+
> 何かnpm update以外にもやらなければいけない事があるのでしょうか。
|
|
45
|
+
|
|
46
|
+
次のコマンドを実行すると、`package-lock.json` が更新されます:
|
|
47
|
+
|
|
48
|
+
```console
|
|
49
|
+
npm install --package-lock-only
|
|
50
|
+
```
|
|
51
|
+
|
|
52
|
+
[npm-install | npm Documentation](https://docs.npmjs.com/cli/install.html)
|
|
53
|
+
|
|
54
|
+
> The --package-lock-only argument will only update the package-lock.json,
|
|
55
|
+
> instead of checking node_modules and downloading dependencies.
|
1
Add expression
answer
CHANGED
|
@@ -1,3 +1,5 @@
|
|
|
1
|
+
# 元の回答
|
|
2
|
+
|
|
1
3
|
公式ドキュメントを確認しましたが、この振る舞いについては特に記述は見つかりませんでした
|
|
2
4
|
(そして、npm 5 がリリースされているため、すでに `--save` オプションに関する記述はなくなっていました)
|
|
3
5
|
[npm-install | npm Documentation](https://docs.npmjs.com/cli/install)
|
|
@@ -12,4 +14,22 @@
|
|
|
12
14
|
[npm-update | npm Documentation](https://docs.npmjs.com/cli/update)
|
|
13
15
|
|
|
14
16
|
> As of npm@5.0.0, the npm update will change package.json
|
|
15
|
-
> to save the new version as the minimum required dependency.
|
|
17
|
+
> to save the new version as the minimum required dependency.
|
|
18
|
+
|
|
19
|
+
## 追記
|
|
20
|
+
|
|
21
|
+
> なるほど、更新の必要はなさそうですか。
|
|
22
|
+
> GitHub上(添付画像1枚目)でlow severityと書かれていますが、
|
|
23
|
+
> これって別に無視しちゃってよさそうなんでしょうか。
|
|
24
|
+
|
|
25
|
+
いや、更新はした方がいいです
|
|
26
|
+
|
|
27
|
+
「`4.17.19` をインストールするのに `package.json` を更新する必要はない」
|
|
28
|
+
という意味です
|
|
29
|
+
`^4.17.13` という定義は
|
|
30
|
+
「何らかの理由で新しいバージョンをインストールできないときに
|
|
31
|
+
`4.17.13` までは過去バージョンをインストールしても問題ない」
|
|
32
|
+
という指定をしてしまっていることを意味します
|
|
33
|
+
|
|
34
|
+
`4.17.19` に満たないバージョンはセキュリティの問題があることが通知されていますので、
|
|
35
|
+
`^4.17.19` となるように `npm update` を実行するべきです
|