npmパッケージのアップグレードが困難になっている #42

Tsutomu-Ikeda · 2021-05-07T14:33:01Z

概要

フロントエンドを作ってから1年くらいが経ち、脆弱性のあるnpmパッケージを簡単にアップグレードできなくなってしまった。

 Dependabot cannot update hosted-git-info to a non-vulnerable version
The latest possible version that can be installed is 2.8.9 because of the following conflicting dependencies:

@vue/cli-plugin-babel@4.4.6 requires hosted-git-info@^2.1.4 via a transitive dependency on normalize-package-data@2.5.0
@vue/cli-plugin-eslint@4.4.6 requires hosted-git-info@^2.1.4 via a transitive dependency on normalize-package-data@2.5.0
@vue/cli-service@4.4.6 requires hosted-git-info@^2.1.4 via a transitive dependency on normalize-package-data@2.5.0
@vue/cli-shared-utils@4.4.6 requires hosted-git-info@^2.1.4 via a transitive dependency on normalize-package-data@2.5.0
node-sass@5.0.0 requires hosted-git-info@^2.1.4 via a transitive dependency on normalize-package-data@2.5.0
The earliest fixed version is 3.0.8.

View logs or learn more about troubleshooting Dependabot errors.

https://github.com/selelab/admin/security/dependabot/front/yarn.lock/hosted-git-info/open

hosted-git-info の場合、すでにdeprecatedとなったパッケージである node-sass に依存していることが根本的な原因である。

The text was updated successfully, but these errors were encountered:

Tsutomu-Ikeda self-assigned this May 7, 2021

Tsutomu-Ikeda changed the title ~~npmパッケージを簡単にアップグレードできなくなっている~~ npmパッケージのアップグレードが困難になっている May 8, 2021

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

npmパッケージのアップグレードが困難になっている #42

npmパッケージのアップグレードが困難になっている #42

Tsutomu-Ikeda commented May 7, 2021

npmパッケージのアップグレードが困難になっている #42

npmパッケージのアップグレードが困難になっている #42

Comments

Tsutomu-Ikeda commented May 7, 2021

概要