フロントエンドの脆弱性のあるパッケージをアップデートしてみた日記
やったことの備忘録を含めた乱文
ほぼほぼ日記帳
経緯
某案件でdependabotsをONにするとめちゃくちゃ怒っていた
その数30数件
どうにかしたいと思って行動してみることにした
1日目
npm audit fixで破壊的変更のないものは、よしなにバージョンアップしてくれるらしい
これをとりあえずしようと思ったけど、案件で採用しているパッケージマネージャーはyarnだったので、別の方法を模索する
2日目
yarnでnpm audit fixをできる方法がないかを探すと以下のStack over flowが見つかる
yarnでも一時的にnpmを使えるらしい
これで一時的にnpm audit fixを使おうかと思う
3日目
yarn-audit-fixというパッケージがあることを上山さんに教えてもらう(感謝:pray:)
これを使ってみることにした
4日目
yarn-audit-fixを実行してみる
実行前
`
$ yarn audit
38 vulnerabilities found - Packages audited: 1620
Severity: 24 Moderate | 14 High
`
38個の脆弱性がある
うち14個もhIghレベルの脆弱性
実行後
`
$ yarn audit
21 vulnerabilities found - Packages audited: 1835
Severity: 17 Moderate | 4 High
`
21個に減った
5日目
ここからは手動で頑張るしかない模様・・・続きはまた