package-lock.json 오류관련 메일은 왜 올까?
package-lock.json은 설치할 시점의 모듈들의 종속성을 잠가버리는 역할을 하는 파일이다.
작업자들 간 설치파일들이 다르지 않게 하여 에러들을 극소화하기 위함이다.
하지만 이렇게 각 모듈간 종속성을 잠궈버리면 이전 버전(낙후된 버전?)에 대한 문제점을 그대로 안고 갈 우려가 있다.
그렇기 때문에 잠궈버린 모듈에 있어서 이 모듈은 요 버전까진 업데이트해주는게 나을거 같은데?
라는 메일을 보내는 것이다.
예를 들면 아래와 같은 내용의 메일이 온다.
We found potential security vulnerabilities in your dependencies.
Dependencies defined in these manifest files have known security vulnerabilities and should be updated:
package-lock.json 2 vulnerabilities found
Only users who have been granted access to security alerts for this repository can see this message.
종속성에서 잠재적 인 보안 취약성을 발견했습니다.
이러한 매니페스트 파일에 정의 된 종속성에는 알려진 보안 취약성이 있으며 업데이트해야합니다.
package-lock.json 2 취약점 발견
이 저장소에 대한 보안 경고에 대한 액세스 권한이 부여 된 사용자 만이 메시지를 볼 수 있습니다.
해당 레포에 들어가서 확인해보면,
Affected versions of `node-sass` are vulnerable to Denial of Service (DoS). Crafted objects passed to the `renderSync...
package-lock.json update suggested:
node-sass ~> 4.13.1
Always verify the validity and compatibility of suggestions with your codebase.
영향을받는`node-sass` 버전은 서비스 거부 (DoS)에 취약합니다. `renderSync ...에 전달 된 제작 된 개체
package-lock.json 업데이트 제안 :
node-sass ~> 4.13.1
항상 코드베이스와 제안의 유효성과 호환성을 확인하십시오.
이런 식으로 해당 모듈은 이 버전으로 업뎃하는게 좋을껄?
이라는 식으로 권유사항이 나옵니다.