Yabu.log

色々勉強するブログです。

Githubからセキュリティの警告がきた

適当に作ってほったらかしにしていたプロジェクト宛に警告がきた。

github.com

We found a potential security vulnerability in one of your dependencies. A dependency defined in ./package-lock.json has known security vulnerabilities and should be updated.

hoek 4.2.0というものに脆弱性CVE-2018-3728が見つかったがお前のpackage-lock.jsonで使っとるぞ。という警告らしい。

npmの外部モジュール*1はプロダクションで一切使っておらず、テストのために入れているだけなので、 今回は特に何も考えず全てのモジュールを最新にした。*2

こちらの記事を参考に GitHubから通知が来た:依存関係の1つに潜在的なセキュリティ脆弱性があります - l08084のブログ

hoekというものは記憶にないのでkarmaやphantomが依存しているっぽいのでそちらを全部更新した。

警告は消えてCIも通った。一件落着。

*1:文言がが不正確かもしれない

*2:まあ最悪CIを作り直せば良い