つかぱい.com

どうせなら好きなことを書いていたい

GitHubで出たセキュリティアラートに対応する。

Qiita記事を書いたのでこっちにも記録

GitHubで出たnpmのセキュリティアラートに対応する。 - Qiita

まだプロトタイプなので気にはしていないのだけれども、ずっとアラートが出っぱなしなのは嫌なので、ちょっと対策をしてみようと思いました。

f:id:ferrari458tukapai:20181105073817p:plain

こんなやつ

簡単に調べたところ、package.jsonに依存パッケージのアップデートを盛り込んで置けばいいみたいなので、こんな感じに修正しました。

"dependencies": {
    "mime-db": {
@@ -202,7 +202,7 @@
        "finalhandler": "0.4.0",
        "finalhandler": "0.4.0",
-       "fresh": "0.3.0",
+       "fresh": ">=0.5.2",
         }

ちなみに実際に修正したコミットはこんな感じ。

GitHub - fix security problem

npmとか結構依存モジュールが多いので定期的にこういったものは検証やアップデート対応が今後必要な気がします。

自分以外メンテナンスする人がいないので、めんどくさいと思う半面、自分で脆弱性対応を調査しなくてもいいというのは便利な機能でした。

参考にした記事

GitHubから通知されたセキュリティ上の脆弱性を解決する