Github って package-lock.json に書いたバージョンの脆弱性を指摘してくれるんやね。
先日、ng new を実行して angular プロジェクトを作って、github に push しました。 すると、github 上に 'We found a potential security vulnerability in one of your dependencies' という見慣れないアラートが...(・・;)
'see security alert' のボタンをクリックすると詳細の画面に飛びました。
この tar の文字列をクリックすると、さらに詳細な内容が表示されました。
これによると、package-lock.json に書いてある tar のバージョンが 4.4.2 より前のバージョンなので、脆弱性があるということでした。ちなみに脆弱性の内容は、既にシステムに存在するファイルと同じリンクのファイルを含む tar ファイルを解凍する時に、既に存在するファイルが tar ファイルの方のファイルで上書きされてしまうとのことでした。
早速、画面の Remediation を参考にして、package-lock.jsonのtar のバージョンを全て 4.4.2 以降に書き換えて、再度pushしました。
すると、無事にアラートは消えました。
パッケージの脆弱性と修正方法を示してくれるなんて github は親切ですね。