あなたのnpmパッケージ、脆弱性の塊説。急いで最新にするよ！

npm便利ですよね。

昨今フロントweb開発でNode.jsが登場しないことはないので、みなさんお使いかと思いますが、ちゃんとバージョン管理していますか？

私はしがないweb制作者ですが、npmパッケージなしでの開発はありえないです。

ただそういえばバージョン管理をしていないなと思い、現在バージョンと最新バージョンを比べてみることに。そしたら...

$ npm outdated

Image may be NSFW.
Clik here to view.

微妙にパッケージが古くなってた...

npm-check-updatesをインストール

まずはpackage.jsonを最新バージョンにアップグレードしてくれるnpm-check-updatesをインストールします。

npm i npm-check-updates

そしたら、

ncu -u

すると、
Image may be NSFW.
Clik here to view.

Run npm install to install new versions.

というメッセージが出たらOK、最後にパッケージをインストールします。

npm i

すると...

Image may be NSFW.
Clik here to view.
何やら不穏なメッセージ。

660の脆弱性があるから直すためにnpm audit fixしろよな！

ということらしいです👀

ヒェ...
（npmの更新サボってた人はみんな数百レベルであると思われます）

とりあえずコマンドを実行します。脆弱性のある箇所を自動修正してくれるコマンドです。

npm audit fix

すると

Image may be NSFW.
Clik here to view.

残り12個の脆弱性は手作業でオナシャス！！

ということらしい。

マジかい。

npm audit

で脆弱性一覧を出してみる。

Image may be NSFW.
Clik here to view.

15個の脆弱性のうち、一個の危険性がhighになっていました（脆弱性から正規表現を使ったDoS攻撃を受ける可能性があるそうです）

highのものを詳しくみてみます。

───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ http-proxy                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=1.18.1                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ browser-sync [dev]                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ browser-sync > http-proxy                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1486                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

browser-syncが依存している、http-proxyに問題があるそう。なんぞこれ...?

調べてみると、執筆時点5日前にアップデートが出ており、最新版にする必要がありそうです。

https://www.npmjs.com/advisories/1486

とりあえず

$ npm install http-proxy

で最新版をダウンロードし、再度脆弱性のある箇所を自動修正してくれるコマンド↓

npm audit fix

すると...

Image may be NSFW.
Clik here to view.

fixed 9 of 13 vulnerabilities in 1275 scanned packages
  4 vulnerabilities required manual review and could not be updated

high消えたし、4つまで減らせたよかった！！

ぬわ〜ん疲れたも〜ん！！

結論 npmは定期的にお手入れせよ

バージョンは古くなってるし、脆弱性はあるし、多分自動化できるんだろうけど弱弱エンジニアなので、これから調べてみます。

みんなもnpmパッケージのバージョン管理、やろう！！

あなたのnpmパッケージ、脆弱性の塊説。急いで最新にするよ！

npm-check-updatesをインストール

結論 npmは定期的にお手入れせよ

Trending Articles

モーツァルトディヴェルティメント変ホ長調 K.563 の名盤

井上貴博アナウンサー彼女や結婚の噂は？実家や親が話題？人気は？

Ke Aloha Kalikimakaの歌詞を和訳します

PaliのLepe `Ula`ulaと歌詞の和訳

2014年6月6日号　三菱東京ＵＦＪ銀行（5月14日付）

LNK2019:未解決の外部シンボルと LNK1120:外部参照 1 が未解決について

ヴァンパイア・ノーツ　攻略

大阪・泉南イオンで飛び降り自殺とみられる転落事件が発生：ネットで拡散された理由とは

メールディーラーで受信するアドレスを追加できますか？

Robocopy のエラー (戻り値) について

林要の結婚や経歴&評判とWikiプロフやLOVOT(ラボット)とグルーブエックス株価は

【極☆寒】「凍った髪」を競い合う『国際ヘア・フリージング・コンテスト』！寒〜い写真に身震いしつつ過ぎ行く冬にサヨナラだ!!

滋賀の部落（同和地区）一覧

【銃刀法違反】吉田総業組長代行恩田達志容疑者を再逮捕

和歌山県代表決まる　都道府県対抗中学バレー

大浦街道で重体事故

【世界大学ランキング】第１位にジュリアード音楽院とウィーン国立音大、日本勢は？

【対策済】「SKYSEA Client View」のアップデートに失敗する問題についてのお知らせ

Lahaina Lunaの歌詞を和訳しました

画像・写真】ららぽーと横浜で16歳男子高校生が転落死不審な動き→逃走し警備員に追いかけられ→柵越え飛び降り・12m転落窃盗・万引き？それとも盗撮？