create-react-app(react-scripts) の X high severity vulnerabilities の警告について

投稿日 2022年7月13日
著者アルム＝バンド
カテゴリー Node.js
カテゴリー React.js

経緯

create-react-app(react-scripts) で作ったアプリに対して、パッケージ追加等をすると次のような脆弱性の警告が表示されます。

up to date, audited 1485 packages in 5s
197 packages are looking for funding
run npm fund for details
6 high severity vulnerabilities
To address all issues (including breaking changes), run:
npm audit fix –force
Run npm audit for details.

脆弱性がある、と言われるとさすがに放置はできないのでどうにかできないものかと調べました。

対応

結論から言うと、今回のケースでは無視して良い、とのことでした。

create-react-appでは脆弱性の警告が出るが無視して良い

理由としては

警告の発出元である npm audit 自体の警告が不正確
今回のケース(create-react-app(react-scripts))では依存パッケージはビルドツールとして用いられており、殆どの場合は成果物に含まれるわけではない (と思われる)
ビルドツールとして脆弱性があればアップデートがあるはず

といったところのようです。

言われて見れば確かに、というところですね。

それでも気になる場合は

dependencies にある react-scripts を devDependencies に移動させる
- npm audit --production を使用する
パッケージインストール時は npm install --no-audit で audit を使用しないように指定する

とすることで警告を表示させなくすることができるとのこと。

参考

この記事を書いた人

アルム＝バンド

フロントエンド・バックエンド・サーバエンジニア。LAMPやNodeからWP、Gulpを使ってejs,Scss,JSのコーディングまで一通り。たまにRasPiで遊んだり、趣味で開発したり。

記事一覧

カテゴリー

CMS (91)
- MODX (6)
- WordPress (80)
css (33)
- Scss (18)
  - DartSass (10)
JavaScirpt (136)
- Gulp (27)
- jQuery (15)
- Node.js (28)
- React.js (21)
  - Next.js (1)
- Vue.js (12)
- Webpack (7)
PHP (88)
- DietCake (3)
- Dietcube (7)
- Laravel (2)
- Slim (7)
Raspberry Pi (5)
SNS (11)
- facebook (6)
- Instagram (2)
- Mastodon (1)
- Twitter (5)
Webサービス (26)
イベント (10)
サーバ環境・構築 (92)
- Ansible (6)
- Apache (33)
- CentOS (17)
データベース (34)
- MySQL (30)
  - phpMyAdmin (8)
- SQLite (4)
ブラウザ (25)
- Chrome (13)
- Edge (2)
- Firefox (4)
- Internet Explorer (5)
- Safari (1)
- Vivaldi (5)
プログラム (68)
未分類 (4)
自作 (66)
- デモ (30)
開発環境 (137)
- CI/CD (7)
- Docker (59)
- XAMPP (9)
雑記 (61)

Copyright © 2018- アルム＝バンド All Rights Reserved.