😸

npm Scriptで使っているbrowser-syncのセキュリティ脆弱性解消にチャレンジしたときのメモ

2022/05/01に公開

ウェブ制作のときのscssコンパイルやベンダープレフィクスつけるのに、npm Script を使っています。先輩フリーランスにもらったものを、dartsassにしたくらいは自分で入れましたが、あとはそのまままるっと頂いたものです。browser-syncを使った、ホットリロード機能も備えているので、とても便利に使っています。

ただ、1つ気になるのが、セキュリティの脆弱性の警告が出ることです。
今回は、その解消にチャレンジしたときの記録を記事にしておこうと思います。

問題とその状況

npm auditで状況を確認すると以下の感じ

# npm audit report

async  <2.6.4
Severity: high
Prototype Pollution in async - https://github.com/advisories/GHSA-fwr7-v2mv-hh25
fix available via `npm audit fix --force`
Will install browser-sync@1.9.2, which is a breaking change
node_modules/async
  portscanner  0.1.1 - 2.1.1
  Depends on vulnerable versions of async
  node_modules/portscanner
    browser-sync  <=0.6.2 || >=2.0.0-rc1
    Depends on vulnerable versions of portscanner
    node_modules/browser-sync

3 high severity vulnerabilities

To address all issues (including breaking changes), run:

過去にやったこと

このときはだいたい、npm audit fixまたは'npm audit fix --force'をして下さいとメッセージが出るので、そのとおりにすると、もっとたくさんの警告が出てしまいます。

npm audit fix --force                                                                +[main]
npm WARN using --force Recommended protections disabled.
npm WARN audit Updating browser-sync to 1.9.2,which is a SemVer major change.
npm WARN deprecated minimatch@2.0.10: Please update to minimatch 3.0.2 or higher to avoid a RegExp DoS issue
npm WARN deprecated graceful-fs@1.2.3: please upgrade to graceful-fs 4 for compatibility with current and future versions of Node.js
npm WARN deprecated json3@3.3.2: Please use the native JSON object instead of JSON 3
npm WARN deprecated minimatch@0.2.14: Please update to minimatch 3.0.2 or higher to avoid a RegExp DoS issue
npm WARN deprecated debug@4.1.1: Debug versions >=3.2.0 <3.2.7 || >=4 <4.3.1 have a low-severity ReDos regression when used in a Node.js environment. It is recommended you upgrade to 3.2.7 or 4.3.1. (https://github.com/visionmedia/debug/issues/797)
npm WARN deprecated axios@0.19.0: Critical security vulnerability fixed in v0.21.1. For more information, see https://github.com/axios/axios/pull/3410

added 95 packages, removed 41 packages, changed 38 packages, and audited 461 packages in 21s

68 packages are looking for funding
  run `npm fund` for details

# npm audit report

async  <2.6.4
Severity: high
Prototype Pollution in async - https://github.com/advisories/GHSA-fwr7-v2mv-hh25
fix available via `npm audit fix --force`
Will install browser-sync@2.27.9, which is a breaking change
node_modules/async
  portscanner  0.1.1 - 2.1.1
  Depends on vulnerable versions of async
  node_modules/portscanner
    portscanner-plus  >=0.1.0
    Depends on vulnerable versions of portscanner
    node_modules/portscanner-plus
      browser-sync  <=2.26.13
      Depends on vulnerable versions of dev-ip
      Depends on vulnerable versions of eazy-logger
      Depends on vulnerable versions of foxy
      Depends on vulnerable versions of glob-watcher
      Depends on vulnerable versions of lodash
      Depends on vulnerable versions of object-path
      Depends on vulnerable versions of opt-merger
      Depends on vulnerable versions of portscanner-plus
      Depends on vulnerable versions of resp-modifier
      Depends on vulnerable versions of socket.io
      Depends on vulnerable versions of tfunk
      node_modules/browser-sync

axios  <=0.21.1
Severity: high
Incorrect Comparison in axios - https://github.com/advisories/GHSA-cph5-m8f7-6c5x
Server-Side Request Forgery in Axios - https://github.com/advisories/GHSA-4w2v-q235-vp99
Depends on vulnerable versions of follow-redirects
fix available via `npm audit fix`
node_modules/axios
  localtunnel  1.9.0 - 2.0.1
  Depends on vulnerable versions of axios
  Depends on vulnerable versions of yargs
  node_modules/localtunnel

debug  <2.6.9
Regular Expression Denial of Service in debug - https://github.com/advisories/GHSA-gxpj-cx7g-858c
fix available via `npm audit fix --force`
Will install browser-sync@2.27.9, which is a breaking change
node_modules/engine.io-client/node_modules/debug
node_modules/engine.io/node_modules/debug
node_modules/socket.io-adapter/node_modules/debug
node_modules/socket.io-client/node_modules/debug
node_modules/socket.io-parser/node_modules/debug
node_modules/socket.io/node_modules/debug
  engine.io  <=4.0.0-alpha.1
  Depends on vulnerable versions of debug
  node_modules/engine.io
    socket.io  <=2.4.1
    Depends on vulnerable versions of debug
    Depends on vulnerable versions of engine.io
    Depends on vulnerable versions of socket.io-parser
    node_modules/socket.io
      browser-sync  <=2.26.13
      Depends on vulnerable versions of dev-ip
      Depends on vulnerable versions of eazy-logger
      Depends on vulnerable versions of foxy
      Depends on vulnerable versions of glob-watcher
      Depends on vulnerable versions of lodash
      Depends on vulnerable versions of object-path
      Depends on vulnerable versions of opt-merger
      Depends on vulnerable versions of portscanner-plus
      Depends on vulnerable versions of resp-modifier
      Depends on vulnerable versions of socket.io
      Depends on vulnerable versions of tfunk
      node_module
・・・・以下けっこう長い😅

で、この後、もう一度'npm audit fix --force'をすると、最初の状況になります。

理解したこと

browser-sync が使用しているportscannerというパッケージのバージョンが古いのでセキュリティ的に危険です!だからなんとかして下さい。
こう言われていると理解しました。

参考記事とやってみたこと

と、いうことは、package.jsonでバージョンを指定すればいいのか?と思ったら、パッケージが依存しているパッケージなので、そこには書いていない。では、package.lock.jsonを書き換えるかなと思って、portscannerを検索すると、8箇所くらいでてきたので、なんとかできそう。でも、これは勝手に作られるから、結局、npm i するときにはもとにもどってしまうのではないだろうか。根本的な解決にはならない。

browser-syncのリポジトリを確認してみた

issueにあがっていました。
async portscanner vulnerability 2.1.1 #1959

issueの最後は次の文章
Could you please update portscanner up to the latest version?

パッケージの上書きができる

ということは、portscannerのバージョンを変更すればこの警告が消えるのでは無いかと考えて、依存関係のパッケージを上書きできないかと検索。
npm override あたりで検索して、以下の記事を発見。
How do I override nested NPM dependency versions?

package.jsonに以下の記述を追加

{
"overrides": {
		"portscanner": "2.2.0"
	}
}

node_modulesを削除して、再度 npm install

結果

結論、結果は変わらずでした。
しかし、package.lock.jsonを検索してみると、中の記述の1つだけ、portscannerのバージョンが2.0.0になっていました。

他のところにもたくさんportscannerの記述があり、その1つ以外は前のバージョンのまま。やはり、browser-syncの中を修正しないと行けないのか、あるいは、他のパッケージの依存関係でも使われているのか。

今回はここで時間切れとします。

なにか認識違いや解決方法などあれば、ご教示お願いします。

Discussion