さいとブログ

脆弱性のあるnpmパッケージのバージョンアップ方法について調べていて
yarn auditコマンドについて色々調べたので、まとめます。

yarn auditとは

インストールされているパッケージの脆弱性の有無を調べます。
なお、実行するにはインターネットに接続している必要があります。

実行してみる

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ low      │ Denial of Service                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package    │ node-fetch                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in  │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ react-native-reanimated                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path     │ react-native-reanimated > fbjs > isomorphic-fetch >     │
│        │ node-fetch                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info   │ https://www.npmjs.com/advisories/1556            │
└───────────────┴──────────────────────────────────────────────────────────────┘

一番上のlowが脆弱性のレベルで
低い順に[INFO | LOW | MODERATE | HIGH | CRITICAL]となっています。

次にpackageで該当パッケージを表示し、次が対応バージョンを示しています。
それ以降はあまり重要じゃなさそうなので、割愛します。

オプション

--verbose

auditで問題が発生しているときに使用するらしいが、正直どんなときに使うかわからない。。

--json

json形式で詳細を出力

--level

指定した脆弱性レベルのみ出力します。これがよく使うかな。。

まとめ

以上でyarn auditについてまとめてみました。
セキュリティ対策を行う上で、auditコマンドの重要性を理解できた気がします。

参考

• yarn audit