« npm の -g オプションや @から始まるのって何だろう? npm fund って何だろう? | トップページ | toio と M5 の ATOM シリーズをつなぐ ATOM Mate for toio™ »

2022.11.20

脆弱性問題解消のため、npm audit を実行してみた

| |コメント (0)

 このエントリーをはてなブックマークに追加

どうも、かげさんです(^^)/
あなたがこの記事を読んでいるのは何回目でしょうか?
初めての方、いらっしゃい!
複数回目の方、再訪問ありがとです(・∀・)

前回のあらずじ

前回の記事「npm の -g オプションや @から始まるのって何だろう? npm fund って何だろう?」では、npm の分からない部分を確認しながら、パッケージマネージャの npm を使って TP-Link の Tapo シリーズのライブラリ tp-link-tapo-connect をインストールして、こんな結果になりました。

Tplinktapoconnect13

重大度の高い脆弱性が3つもあるだと…

そして次は、「npm audit」を実行して、ということみたいとなったわけだ。

npm audit してみる

まずは脆弱性情報を見てみよう。

npm audit を実行!

Npmaudit01

どうやら tp-link-tapo-connect で使っている get-ip-range が4.0.0未満であることが問題らしい。

npm audit fix してみる

脆弱性の問題を解消するため、npm audit fix を実行してみる。

Npmaudit02
No Fix available と出ているせいか、解消されていない…

つか、npm fund の出力が増えただけっぽい…

npm audit fix --force してみる

脆弱性の問題を強制的に解決する npm audit fix --force を実行してみる。

Npmaudit03
npm fund の前の部分が若干変わっただけで、何も解決していない…

npm ls してみる

「npm ls パッケージ名」で指定したパッケージの依存関係が見れるので、問題になっている get-ip-range パッケージの依存関係を見てみますか。

Npmaudit04

tp-link-tapo-connect の 1.0.8 で local-devices の 3.2.0 を使っていて、その中でget-ip-range の 2.1.1 を使っているわけか。

で、この get-ip-range の 2.1.1 を 4.0.0 以上にすれば良いのかな?

ということで、パッケージの依存関係とかが書かれたファイル package.json とか package-lock.json が分からないとダメそうだな…

色々調べないとダメそうなので、続く。

ここまではOKだ


 このエントリーをはてなブックマークに追加

| |コメント (0)

このエントリーへのリンク

このエントリーのリンクを入れるHTML:

コメント

このブログの新着コメントをRSSリーダに登録する為のxml




←名前とメールアドレスは必須です。
URLも記入すれば、URLのみが公開されます。
メールアドレスのみですと、メールアドレスが公開されてしまいますので、御注意ください。

↓コメント本文では、「a href」「b」「i」「br/」「p」「strong」「em」「ul」「ol」「li」「blockquote」「pre」のタグが使えます。絵文字をクリックすると、本文にタグを挿入できます。