Node 10.0と合わせて自分のMacのnpmもv6にバージョンアップさせました。 色々いじってた時に脆弱性を教えてくれるようになったので、メモとして残します。
例えばnpm install
でnodemonを入れると、以下のように脆弱性があるよと警告を親切に出してくれます。
画像のインストラクション通り、npm audit
で詳細が見られるようです。
素直にコマンドを叩くとこんな図のようにどのパッケージの何がマズイのか表示されるようになります。
ガイドはNPM公式から出てます。
ガイドを見る限り、npm install
を叩くと同時に npm audit
も叩かれるみたいです。
もしパッケージインストール時に npm audit
を叩かないようにしたい場合は、--no-audit
フラグをつければOK。
今回のnodemonの例でやると、以下のようになる。
npm install nodemon --no-audit
また、npmのインストール全体を通して npm audit
させないようにするためには以下のように設定してあげればいいみたいです。
npm set audit false
Nodeだけじゃなくてnpmも進化してるって発見ですね。 セキュリティ周りをこうやって補強するのを助けてくれるのは嬉しい限りです。最近はGitHubもpackage.jsonから脆弱性アラートを出してくれるようになっているみたいなので、ちゃんとセキュリティ周りは固めておきたいね。