💡【npm audit】npm package の脆弱性対応してますか?2023/09/18に公開2023/09/201件npm脆弱性packageaudittechDiscussionRuon2024/12/12に更新素敵な記事ありがとうございます!npm auditの使い方やレポートの読み方、そして直す手順が詳しく記載されていて大変参考になりました! 一点コメントさせてください。「③ 手動で直す」の「pacakge-lock.json を書き換える」の代わりにpackage.jsonにoverridesセクションを追加してライブラリの依存関係を上書きするほうが良いかと思いました。(どちらにせよ依存ライブラリ内での思わぬ不具合を生む可能性はありますが。) 例: package.json "overrides": { "postcss": "^7.0.36", }, また、その場合何を持って強制的なoverridesを承認するかも以下の点を確認するといいと思いました。 overrideしたバージョンのリリースノートを参照し、破壊的変更がないか overridesしたバージョンでインターフェースの変更がないか(1とほぼ同じ) テストコードおよび、リグレッションテストを実施し、ハッピーパスが通るか。 返信を追加
Ruon2024/12/12に更新素敵な記事ありがとうございます!npm auditの使い方やレポートの読み方、そして直す手順が詳しく記載されていて大変参考になりました! 一点コメントさせてください。「③ 手動で直す」の「pacakge-lock.json を書き換える」の代わりにpackage.jsonにoverridesセクションを追加してライブラリの依存関係を上書きするほうが良いかと思いました。(どちらにせよ依存ライブラリ内での思わぬ不具合を生む可能性はありますが。) 例: package.json "overrides": { "postcss": "^7.0.36", }, また、その場合何を持って強制的なoverridesを承認するかも以下の点を確認するといいと思いました。 overrideしたバージョンのリリースノートを参照し、破壊的変更がないか overridesしたバージョンでインターフェースの変更がないか(1とほぼ同じ) テストコードおよび、リグレッションテストを実施し、ハッピーパスが通るか。 返信を追加
Discussion
素敵な記事ありがとうございます!npm auditの使い方やレポートの読み方、そして直す手順が詳しく記載されていて大変参考になりました!
一点コメントさせてください。「③ 手動で直す」の「pacakge-lock.json を書き換える」の代わりにpackage.jsonに
overridesセクションを追加してライブラリの依存関係を上書きするほうが良いかと思いました。(どちらにせよ依存ライブラリ内での思わぬ不具合を生む可能性はありますが。)例:
また、その場合何を持って強制的なoverridesを承認するかも以下の点を確認するといいと思いました。