1. ホーム
  2. github

[解決済み] package-lock.json で定義された依存関係の潜在的なセキュリティ脆弱性を修正する適切な方法

2023-01-12 02:10:51

質問

Githubのあるリポジトリでこのエラーが発生しました。

We found a potential security vulnerability in one of your dependencies.
A dependency defined in ./package-lock.json has known security vulnerabilities 
and should be updated.

依存関係が定義されていないため、私たちの package.json ファイルで定義されていません。私の理解では、このように package-lock.json ファイルを削除して再生成するのは良い方法ではないと理解しています。しかし、この問題を解決する他の方法は見当たりません。このセキュリティの脆弱性を解消しても、数日後にまた現れるでしょう。何かアイデアはありませんか?ありがとうございます。

どのように解決するのですか?

新機能:npm@6で、直接

npm audit fix


古い回答です。

問題のあるパッケージの名前を特定し、そのパッケージに対して

npm install package-name

をパッケージ名に置き換えたものであることは明らかです。

これはパッケージの最新版をインストールするもので、多くの場合、最新版ではセキュリティ問題が修正されています。バージョンに制約がある場合 (例: 1.2)、いつでも試すことができます。

npm install package-name@^1.2

で、最新のパッチが適用されたバージョンがインストールされます。