GitHub リポジトリの Dependabot alerts 機能をオンにしていると、脆弱性が確認された npm モジュールのバージョンを上げるように警告が飛んできます。 その場合、対象のモジュールを直接リポジトリで使っている場合は対処が簡単なのですが、依存関係の根の深いところに使っていると割と大変です。 例えば、Aというモジュールに脆弱性が報告されたとして、 AというモジュールにBが依存している BというモジュールにCが依存している Cを自分のリポジトリが使っている という感じになっている場合、まず B のメンテナが A の新しいバージョンを使ってリリースし、その後に C のメンテナが B の新しいバージョンを使ってリリースし、それから自分が C のバージョンを上げないといけません。 善意で成り立っている OSS コミュニティの場合、こういう作業は得てして遅かったりしますし、自分で P
![GitHub の npm security vulnerability アラートを強制的に解決する方法](https://cdn-ak-scissors.b.st-hatena.com/image/square/dfad7df86d1e714a6edcc703ce28dc8898c520ef/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--0rA_O794--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3AGitHub%252520%2525E3%252581%2525AE%252520npm%252520security%252520vulnerability%252520%2525E3%252582%2525A2%2525E3%252583%2525A9%2525E3%252583%2525BC%2525E3%252583%252588%2525E3%252582%252592%2525E5%2525BC%2525B7%2525E5%252588%2525B6%2525E7%25259A%252584%2525E3%252581%2525AB%2525E8%2525A7%2525A3%2525E6%2525B1%2525BA%2525E3%252581%252599%2525E3%252582%25258B%2525E6%252596%2525B9%2525E6%2525B3%252595%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3AKaito%252520Sugimoto%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyLzYxMTZhZmU1YmMuanBlZw%3D%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)