回答編集履歴

3

Fix answer

2020/07/28 12:58

投稿

y_shinoda
y_shinoda

スコア3272

test CHANGED
@@ -1,4 +1,24 @@
1
+ ## 修正した回答
2
+
3
+
4
+
5
+ > 1 lodash vulnerability found in pictionarizer-ui/yarn.lock
6
+
7
+
8
+
9
+ 原因は `npm` ではなく `yarn` のようです
10
+
11
+
12
+
13
+ `yarn` コマンドを実行して `yarn.lock` ファイルを更新することで
14
+
15
+ Dependency alert が解消することが期待できます
16
+
17
+ [yarn install | Yarn](https://classic.yarnpkg.com/ja/docs/cli/install)
18
+
19
+
20
+
1
- # 元の回答
21
+ ## 元の回答
2
22
 
3
23
 
4
24
 

2

Fix answer

2020/07/28 12:58

投稿

y_shinoda
y_shinoda

スコア3272

test CHANGED
@@ -67,3 +67,43 @@
67
67
  `4.17.19` に満たないバージョンはセキュリティの問題があることが通知されていますので、
68
68
 
69
69
  `^4.17.19` となるように `npm update` を実行するべきです
70
+
71
+
72
+
73
+ > さきほど確認してみたら、
74
+
75
+ > package.jsonは4.17.19になっているのに対して、
76
+
77
+ > package-lock.jsonの中には^4.17.13という定義をされている箇所が
78
+
79
+ > いくつかあるようでした。
80
+
81
+ > "@babel/core": {"requires": {"lodash": "^4.17.13", ...}} みたいな感じです。
82
+
83
+ > たぶんこれらが「バージョンが古い」とみなされているのかなと思います。
84
+
85
+ > npm updateを実行した後でもこうだったので、
86
+
87
+ > 何かnpm update以外にもやらなければいけない事があるのでしょうか。
88
+
89
+
90
+
91
+ 次のコマンドを実行すると、`package-lock.json` が更新されます:
92
+
93
+
94
+
95
+ ```console
96
+
97
+ npm install --package-lock-only
98
+
99
+ ```
100
+
101
+
102
+
103
+ [npm-install | npm Documentation](https://docs.npmjs.com/cli/install.html)
104
+
105
+
106
+
107
+ > The --package-lock-only argument will only update the package-lock.json,
108
+
109
+ > instead of checking node_modules and downloading dependencies.

1

Add expression

2020/07/27 17:27

投稿

y_shinoda
y_shinoda

スコア3272

test CHANGED
@@ -1,3 +1,7 @@
1
+ # 元の回答
2
+
3
+
4
+
1
5
  公式ドキュメントを確認しましたが、この振る舞いについては特に記述は見つかりませんでした
2
6
 
3
7
  (そして、npm 5 がリリースされているため、すでに `--save` オプションに関する記述はなくなっていました)
@@ -27,3 +31,39 @@
27
31
  > As of npm@5.0.0, the npm update will change package.json
28
32
 
29
33
  > to save the new version as the minimum required dependency.
34
+
35
+
36
+
37
+ ## 追記
38
+
39
+
40
+
41
+ > なるほど、更新の必要はなさそうですか。
42
+
43
+ > GitHub上(添付画像1枚目)でlow severityと書かれていますが、
44
+
45
+ > これって別に無視しちゃってよさそうなんでしょうか。
46
+
47
+
48
+
49
+ いや、更新はした方がいいです
50
+
51
+
52
+
53
+ 「`4.17.19` をインストールするのに `package.json` を更新する必要はない」
54
+
55
+ という意味です
56
+
57
+ `^4.17.13` という定義は
58
+
59
+ 「何らかの理由で新しいバージョンをインストールできないときに
60
+
61
+ `4.17.13` までは過去バージョンをインストールしても問題ない」
62
+
63
+ という指定をしてしまっていることを意味します
64
+
65
+
66
+
67
+ `4.17.19` に満たないバージョンはセキュリティの問題があることが通知されていますので、
68
+
69
+ `^4.17.19` となるように `npm update` を実行するべきです