GitHub の npm security vulnerability アラートを強制的に解決する方法GitHub リポジトリの Dependabot alerts 機能をオンにしていると、脆弱性が確認された npm モジュールのバージョンを上げるように警告が飛んできます。 その場合、対象のモジュールを直接リポジトリで使っている場合は対処が簡単なのですが、依存関係の根の深いところに使っていると割と大変です。 例えば、Aというモジュールに脆弱性が報告されたとして、 AというモジュールにBが依存している BというモジュールにCが依存している Cを自分のリポジトリが使っている という感じになっている場合、まず B のメンテナが A の新しいバージョンを使ってリリースし、その後に C のメンテナが B の新しいバージョンを使ってリリースし、それから自分が C のバージョンを上げないといけません。 善意で成り立っている OSS コミュニティの場合、こういう作業は得てして遅かったりしますし、自分で P
