[GitHub] We found potential security vulnerabilities in your Dependencies
팀 프로젝트를 하면서 내가 개발 환경을 구축하니 이러한 알림이 뜨는 것 이다! 열심히 찾아본 뒤에 해결 한 후 결과를 공유하고자 한다!
이 글을 번역해보면 다음과 같다.
종속성에서 잠재적인 보안 취약성이 발견되었습니다.
즉, package-lock.json에서 오류가 발생하는 것이다!
해결 방법
1) dependency bot 이용하기
이렇게 풀리퀘로 올라온 것을 확인할 수 있다. Merge를 하면 해당 보안 취약성을 해결할 수 있지만 부분적으로 몇 개만 적용이 된다...
2) npm audit fix
처음에는 npm audit fix
와 npm audit fix --force
를 사용하여 몇 가지의 취약성이 사라졌지만, 결과는 동일했었다.
npm audit fix
npm audit fix --force
나의 문제는 로컬에 깔려있는 npm 패키지 문제였다. 즉, 내 컴퓨터에 깔려있는 npm 버전이 업데이트가 되지 않았기 때문이었다!
그래서 바로 npm과 node를 업데이트 시켜준 후 vs-code에서 package-lock.json
과 node_module
파일을 삭제 한 후 npm i
를 해준뒤 레파지토리에 커밋 푸시를 해주었다! 결과는 대 성공이었다!
npm과 node 업데이트
os가 windows일 경우
설치용 msi 다운 받아서 그냥 설치하면 된다.
- Node.js 업데이트 하기
1) node -v
2) npm cache clean -f
3) npm install -g n
4) n lts
1) Node.js 현재 버전 확인
2) npm 캐쉬 삭제 (오류발생 할 수 있음)
3) n 플러그인 설치 : 노드 버전관리 플러그인
4) Node.js 버전 설치 (n 상세 사용법 링크 참조)
n latest : 최신버전
n lts : lts 버전
n stable : 안정버전
- npm 업데이트 하기
1) node -v
2) npm cache clean -f
3) npm install -g n
4) n lts
1) npm 현재 버전 확인
2) npm 업데이트
-g 옵션 없을 시 현재 프로젝트만 적용됨.
추후에 적용해 볼 내용🍯
npm 의존성을 실시간으로 감시하고 자동으로 업데이트할 수 있게 도와주는 라이브러리가 있다고 한다!
1. snyk
원래는 greenkeeper가 있다했는데... 서비스가 중단되었다고 한다..👋
Snyk GitHub 작업
2. Dependency CI
Greenkeeper가 의존성을 최신으로 업데이트하는 데 집중한다면 Dependency CI는 의존성 모듈을 검사하는 역할을 한다.
GitHub으로 로그인한 뒤 원하는 저장소를 활성화하면 연결이 된다
CI라는 이름답게 이후에는 커밋이나 Pull Request가 올라올 때마다 해당 코드를 기준으로 검사하고 결과를 알려준다.
출처: https://walldaydream.tistory.com/entry/Nodejs-npm-업데이트-하기
https://blog.outsider.ne.kr/1323
Author And Source
이 문제에 관하여([GitHub] We found potential security vulnerabilities in your Dependencies), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://velog.io/@ye-ji/GitHub-We-found-potential-security-vulnerabilities-in-your-Dependencies저자 귀속: 원작자 정보가 원작자 URL에 포함되어 있으며 저작권은 원작자 소유입니다.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)