GitHubに置いているソースが脆弱性の警告を受けました。どうやら lodash に脆弱性があるようです。こういう場合、npm 6.1.0 で追加されたコマンド npm audit fix を使う事で適切にバージョンアップすることができるのですが、今回は npm auditを実行しても found 0 vulnerabilities と言われて解決できません。仕方がないので手動でモジュールをアップデートしました。*1
脆弱性のあるモジュールの確認
まず GitHub 上で脆弱性のあるモジュールを確認します。lodash の 4.17.13 以上を使えと言っています。
$ npm ls lodash
で現状のバージョンを確認します。4.17.11 のようです。
最新のモジュールをインストール
最新版の lodash をインストールします。
$ npm install lodash
バージョンが更新されましたが、ツリーのルートに lodash がインストールされてしまっています。これはよくありません。
node_modules/ の再構成
$ git status
で確認すると、package.json
と package-lock.json
が更新されています。
package.json
の修正は不要なので元に戻します。
$ git checkout -- package.json
node_modules/
を再構成します。
$ npm install
ツリーのルートにインストールされた lodash はなくなりました。
これで完成です。動作確認し、package-lock.json
をコミットしましょう。