package.jsonの脆弱性を一気に修正する
ロックファイルの数を確認する
code:sh
# bash/zsh
for i in package-lock.json yarn.lock pnpm-lock.yaml bun.lockb; do echo -n $i ; sh -c "find ./*/$i 2>/dev/null | wc -l || echo 0"; done | column -t
# fish
for i in package-lock.json yarn.lock pnpm-lock.yaml bun.lockb; echo -n $i ; sh -c "find ./*/$i 2>/dev/null | wc -l || echo 0"; end | column -t
npm の場合
npm の npm audit fix と npm dedupe を使用する code:sh
ls -1 ./*/package-lock.json | xargs -I@ bash -c 'cd $(dirname @); echo \# @; npm audit fix; npm dedupe; echo \# ----'
yarn の場合
code:sh
ls -1 ./*/yarn.lock | xargs -I@ bash -c 'cd $(dirname @); echo \# @; npx yarn-audit-fix; echo \# ----'
pnpm の場合
pnpm では pnpm audit --fix と pnpm dedupe を使用する code:sh
ls -1 ./*/pnpm-lock.yaml | xargs -I@ bash -c 'cd $(dirname @); echo \# @; pnpm audit --fix; npm dedupe; echo \# ----'
bun の場合
あくまで現状では脆弱性のあるパッケージを検知する手段として upgradeps を使用する手法が案内されている upgradeps 単体には bun.lockb を検知する機能はないので bun install -y で yarn.lock (v1) を出力すると yarn と同じ手法で更新できるようになる