適当に作ってほったらかしにしていたプロジェクト宛に警告がきた。

github.com

We found a potential security vulnerability in one of your dependencies. A dependency defined in ./package-lock.json has known security vulnerabilities and should be updated.

hoek 4.2.0というものに脆弱性CVE-2018-3728が見つかったがお前のpackage-lock.jsonで使っとるぞ。という警告らしい。

npmの外部モジュール*1はプロダクションで一切使っておらず、テストのために入れているだけなので、 今回は特に何も考えず全てのモジュールを最新にした。*2

こちらの記事を参考に GitHubから通知が来た：依存関係の1つに潜在的なセキュリティ脆弱性があります - l08084のブログ

hoekというものは記憶にないのでkarmaやphantomが依存しているっぽいのでそちらを全部更新した。

警告は消えてCIも通った。一件落着。