create-react-app
(react-scripts
) で作ったアプリに対して、パッケージ追加等をすると次のような脆弱性の警告が表示されます。
up to date, audited 1485 packages in 5s
197 packages are looking for funding
runnpm fund
for details6 high severity vulnerabilities
To address all issues (including breaking changes), run:
npm audit fix --forceRun
npm audit
for details.
脆弱性がある、と言われるとさすがに放置はできないのでどうにかできないものかと調べました。
結論から言うと、今回のケースでは無視して良い、とのことでした。
理由としては
npm audit
自体の警告が不正確create-react-app
(react-scripts
))では依存パッケージはビルドツールとして用いられており、殆どの場合は成果物に含まれるわけではない (と思われる)といったところのようです。
言われて見れば確かに、というところですね。
それでも気になる場合は
dependencies
にある react-scripts
を devDependencies
に移動させる
npm audit --production
を使用するnpm install --no-audit
で audit
を使用しないように指定するとすることで警告を表示させなくすることができるとのこと。
Crieitは誰でも投稿できるサービスです。 是非記事の投稿をお願いします。どんな軽い内容でも投稿できます。
また、「こんな記事が読みたいけど見つからない!」という方は是非記事投稿リクエストボードへ!
こじんまりと作業ログやメモ、進捗を書き残しておきたい方はボード機能をご利用ください。
ボードとは?
コメント