[GitHub] We found potential security vulnerabilities in your Dependencies

나는야 토마토·2022년 4월 4일
1

ERROR

목록 보기
3/4
post-thumbnail
post-custom-banner

팀 프로젝트를 하면서 내가 개발 환경을 구축하니 이러한 알림이 뜨는 것 이다! 열심히 찾아본 뒤에 해결 한 후 결과를 공유하고자 한다!
이 글을 번역해보면 다음과 같다.
종속성에서 잠재적인 보안 취약성이 발견되었습니다.
즉, package-lock.json에서 오류가 발생하는 것이다!

해결 방법

1) dependency bot 이용하기


이렇게 풀리퀘로 올라온 것을 확인할 수 있다. Merge를 하면 해당 보안 취약성을 해결할 수 있지만 부분적으로 몇 개만 적용이 된다...

2) npm audit fix

처음에는 npm audit fixnpm audit fix --force를 사용하여 몇 가지의 취약성이 사라졌지만, 결과는 동일했었다.

npm audit fix
npm audit fix --force

나의 문제는 로컬에 깔려있는 npm 패키지 문제였다. 즉, 내 컴퓨터에 깔려있는 npm 버전이 업데이트가 되지 않았기 때문이었다!

그래서 바로 npm과 node를 업데이트 시켜준 후 vs-code에서 package-lock.jsonnode_module파일을 삭제 한 후 npm i를 해준뒤 레파지토리에 커밋 푸시를 해주었다! 결과는 대 성공이었다!

npm과 node 업데이트

os가 windows일 경우
설치용 msi 다운 받아서 그냥 설치하면 된다.

  • Node.js 업데이트 하기
1) node -v 
2) npm cache clean -f
3) npm install -g n
4) n lts

1) Node.js 현재 버전 확인
2) npm 캐쉬 삭제 (오류발생 할 수 있음)
3) n 플러그인 설치 : 노드 버전관리 플러그인
4) Node.js 버전 설치 (n 상세 사용법 링크 참조)
n latest : 최신버전
n lts : lts 버전
n stable : 안정버전

  • npm 업데이트 하기
1) node -v
2) npm cache clean -f
3) npm install -g n
4) n lts

1) npm 현재 버전 확인
2) npm 업데이트
-g 옵션 없을 시 현재 프로젝트만 적용됨.

추후에 적용해 볼 내용🍯

npm 의존성을 실시간으로 감시하고 자동으로 업데이트할 수 있게 도와주는 라이브러리가 있다고 한다!

1. snyk

원래는 greenkeeper가 있다했는데... 서비스가 중단되었다고 한다..👋
Snyk GitHub 작업

2. Dependency CI

Greenkeeper가 의존성을 최신으로 업데이트하는 데 집중한다면 Dependency CI는 의존성 모듈을 검사하는 역할을 한다.

GitHub으로 로그인한 뒤 원하는 저장소를 활성화하면 연결이 된다

CI라는 이름답게 이후에는 커밋이나 Pull Request가 올라올 때마다 해당 코드를 기준으로 검사하고 결과를 알려준다.

출처: https://walldaydream.tistory.com/entry/Nodejs-npm-업데이트-하기
https://blog.outsider.ne.kr/1323

profile
토마토마토
post-custom-banner

0개의 댓글