回答編集履歴
3
Fix answer
test
CHANGED
@@ -1,4 +1,24 @@
|
|
1
|
+
## 修正した回答
|
2
|
+
|
3
|
+
|
4
|
+
|
5
|
+
> 1 lodash vulnerability found in pictionarizer-ui/yarn.lock
|
6
|
+
|
7
|
+
|
8
|
+
|
9
|
+
原因は `npm` ではなく `yarn` のようです
|
10
|
+
|
11
|
+
|
12
|
+
|
13
|
+
`yarn` コマンドを実行して `yarn.lock` ファイルを更新することで
|
14
|
+
|
15
|
+
Dependency alert が解消することが期待できます
|
16
|
+
|
17
|
+
[yarn install | Yarn](https://classic.yarnpkg.com/ja/docs/cli/install)
|
18
|
+
|
19
|
+
|
20
|
+
|
1
|
-
# 元の回答
|
21
|
+
## 元の回答
|
2
22
|
|
3
23
|
|
4
24
|
|
2
Fix answer
test
CHANGED
@@ -67,3 +67,43 @@
|
|
67
67
|
`4.17.19` に満たないバージョンはセキュリティの問題があることが通知されていますので、
|
68
68
|
|
69
69
|
`^4.17.19` となるように `npm update` を実行するべきです
|
70
|
+
|
71
|
+
|
72
|
+
|
73
|
+
> さきほど確認してみたら、
|
74
|
+
|
75
|
+
> package.jsonは4.17.19になっているのに対して、
|
76
|
+
|
77
|
+
> package-lock.jsonの中には^4.17.13という定義をされている箇所が
|
78
|
+
|
79
|
+
> いくつかあるようでした。
|
80
|
+
|
81
|
+
> "@babel/core": {"requires": {"lodash": "^4.17.13", ...}} みたいな感じです。
|
82
|
+
|
83
|
+
> たぶんこれらが「バージョンが古い」とみなされているのかなと思います。
|
84
|
+
|
85
|
+
> npm updateを実行した後でもこうだったので、
|
86
|
+
|
87
|
+
> 何かnpm update以外にもやらなければいけない事があるのでしょうか。
|
88
|
+
|
89
|
+
|
90
|
+
|
91
|
+
次のコマンドを実行すると、`package-lock.json` が更新されます:
|
92
|
+
|
93
|
+
|
94
|
+
|
95
|
+
```console
|
96
|
+
|
97
|
+
npm install --package-lock-only
|
98
|
+
|
99
|
+
```
|
100
|
+
|
101
|
+
|
102
|
+
|
103
|
+
[npm-install | npm Documentation](https://docs.npmjs.com/cli/install.html)
|
104
|
+
|
105
|
+
|
106
|
+
|
107
|
+
> The --package-lock-only argument will only update the package-lock.json,
|
108
|
+
|
109
|
+
> instead of checking node_modules and downloading dependencies.
|
1
Add expression
test
CHANGED
@@ -1,3 +1,7 @@
|
|
1
|
+
# 元の回答
|
2
|
+
|
3
|
+
|
4
|
+
|
1
5
|
公式ドキュメントを確認しましたが、この振る舞いについては特に記述は見つかりませんでした
|
2
6
|
|
3
7
|
(そして、npm 5 がリリースされているため、すでに `--save` オプションに関する記述はなくなっていました)
|
@@ -27,3 +31,39 @@
|
|
27
31
|
> As of npm@5.0.0, the npm update will change package.json
|
28
32
|
|
29
33
|
> to save the new version as the minimum required dependency.
|
34
|
+
|
35
|
+
|
36
|
+
|
37
|
+
## 追記
|
38
|
+
|
39
|
+
|
40
|
+
|
41
|
+
> なるほど、更新の必要はなさそうですか。
|
42
|
+
|
43
|
+
> GitHub上(添付画像1枚目)でlow severityと書かれていますが、
|
44
|
+
|
45
|
+
> これって別に無視しちゃってよさそうなんでしょうか。
|
46
|
+
|
47
|
+
|
48
|
+
|
49
|
+
いや、更新はした方がいいです
|
50
|
+
|
51
|
+
|
52
|
+
|
53
|
+
「`4.17.19` をインストールするのに `package.json` を更新する必要はない」
|
54
|
+
|
55
|
+
という意味です
|
56
|
+
|
57
|
+
`^4.17.13` という定義は
|
58
|
+
|
59
|
+
「何らかの理由で新しいバージョンをインストールできないときに
|
60
|
+
|
61
|
+
`4.17.13` までは過去バージョンをインストールしても問題ない」
|
62
|
+
|
63
|
+
という指定をしてしまっていることを意味します
|
64
|
+
|
65
|
+
|
66
|
+
|
67
|
+
`4.17.19` に満たないバージョンはセキュリティの問題があることが通知されていますので、
|
68
|
+
|
69
|
+
`^4.17.19` となるように `npm update` を実行するべきです
|