脆弱性のあるnpmパッケージのバージョンアップ方法について調べていて
yarn auditコマンドについて色々調べたので、まとめます。
インストールされているパッケージの脆弱性の有無を調べます。
なお、実行するにはインターネットに接続している必要があります。
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ low │ Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-fetch │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ react-native-reanimated │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ react-native-reanimated > fbjs > isomorphic-fetch > │
│ │ node-fetch │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1556 │
└───────────────┴──────────────────────────────────────────────────────────────┘
一番上のlow
が脆弱性のレベルで
低い順に[INFO | LOW | MODERATE | HIGH | CRITICAL]
となっています。
次にpackageで該当パッケージを表示し、次が対応バージョンを示しています。
それ以降はあまり重要じゃなさそうなので、割愛します。
auditで問題が発生しているときに使用するらしいが、正直どんなときに使うかわからない。。
json形式で詳細を出力
指定した脆弱性レベルのみ出力します。これがよく使うかな。。
以上でyarn auditについてまとめてみました。
セキュリティ対策を行う上で、auditコマンドの重要性を理解できた気がします。