All Articles

インストールしているnpmパッケージの脆弱性を解消する

あるリポジトリを見たらセキュリティの脆弱性があるよとのことだったので、プロダクトとかではないので悪影響はないが更新しておいた。

脆弱性のチェック

npmには脆弱性をチェックするコマンドが用意されているのでCLIから実行することで確認できる。 --audit-levelオプションで脆弱性のレベルを指定して確認することもできる。

$ npm audit [--audit-level(low|moderate|high|critical)]

上記のコマンドを実行すると脆弱性となっている箇所とアップデートのコマンドを表示してくれる。

パッケージのアップデート

パッケージのアップデートは以下の方法がある。

  • npm audit fix
  • npm audit fix --force
  • npm auditで表示されたアップデートコマンドの実行

npm audit fix --forceについては破壊的変更があるものまで更新してしまうので実行する際は注意が必要。 npm audit fixで更新されなかった部分が破壊的変更を含んでいるので、再度npm auditで確認してから更新するのが無難だと思う。