Node 10.0と合わせて自分のMacのnpmもv6にバージョンアップさせました。 色々いじってた時に脆弱性を教えてくれるようになったので、メモとして残します。
例えばnpm install でnodemonを入れると、以下のように脆弱性があるよと警告を親切に出してくれます。
画像のインストラクション通り、npm auditで詳細が見られるようです。
素直にコマンドを叩くとこんな図のようにどのパッケージの何がマズイのか表示されるようになります。
ガイドはNPM公式から出てます。
ガイドを見る限り、npm installを叩くと同時に npm auditも叩かれるみたいです。
もしパッケージインストール時に npm auditを叩かないようにしたい場合は、--no-auditフラグをつければOK。
今回のnodemonの例でやると、以下のようになる。
npm install nodemon --no-audit
また、npmのインストール全体を通して npm auditさせないようにするためには以下のように設定してあげればいいみたいです。
npm set audit false
Nodeだけじゃなくてnpmも進化してるって発見ですね。 セキュリティ周りをこうやって補強するのを助けてくれるのは嬉しい限りです。最近はGitHubもpackage.jsonから脆弱性アラートを出してくれるようになっているみたいなので、ちゃんとセキュリティ周りは固めておきたいね。
