先日、ng new を実行して angular プロジェクトを作って、github に push しました。 すると、github 上に 'We found a potential security vulnerability in one of your dependencies' という見慣れないアラートが...(・・;)

'see security alert' のボタンをクリックすると詳細の画面に飛びました。

この tar の文字列をクリックすると、さらに詳細な内容が表示されました。

これによると、package-lock.json に書いてある tar のバージョンが 4.4.2 より前のバージョンなので、脆弱性があるということでした。ちなみに脆弱性の内容は、既にシステムに存在するファイルと同じリンクのファイルを含む tar ファイルを解凍する時に、既に存在するファイルが tar ファイルの方のファイルで上書きされてしまうとのことでした。
　早速、画面の Remediation を参考にして、package-lock.jsonのtar のバージョンを全て 4.4.2 以降に書き換えて、再度pushしました。 すると、無事にアラートは消えました。
　パッケージの脆弱性と修正方法を示してくれるなんて github は親切ですね。