Githubからセキュリティ警告メールが届いたら

ある日Githubさんからセキュリティ警告メールが届いた

A new security advisory was published
We found a vulnerable dependency in repositories you have security alert access to.
Security advisory GHSA-3p32-j457-pg5x (high severity) affects 5 repositories:


GithubのリポジトリのSecurity > Dependabot alertsを確認したところ
Laravelで使用していたcomposer.jsonpackage.jsonで入れている
パッケージのバージョンが古いよ、とのこと

updateする

  • composer.jsonの場合
composer update

のあとコミット & プッシュする

  • package.jsonの場合
npm i -g npm-check-updates
npm-check-updates -u --packageFile package.json
npm install

のあとコミット & プッシュする

npm-check-updatesを使うとupdateできるパッケージを調べて更新してくれる

\ 警告なくなった /

この後Laravel Mixのコンパイルが失敗するようになったので別記事にメモした

【Laravel Mix】 npmのパッケージをupgradeしたらコンパイルできなくなった