npmインストールと廃止予定の警告

Question

最近npmを使い始めましたが、インストール中に警告がポップアップすることがありました。

npm install gulp-chimp --save-dev 

実行例えば

は、

NPMはto-iso-string@0.0.2非推奨WARN次の警告が得られる：廃止されたのイソ文字列を、使用@segment/to-iso-stringを使用します。

NPMは非推奨jade@0.26.3をWARN：ジェイドはパグに改名された、代わりにヒスイ

NPMのパグの最新バージョンをインストールしてください非推奨minimatch@0.3.0をWARN：minimatch 3.0.2にアップデートしてください以上正規表現のDoS問題を回避するために

NPMは廃止tough-cookie@2.2.2をWARN：ReDoS脆弱性https://nodesecurity.io/advisories/130

のSet-Cookieを解析する私の質問は、チンパンジーを飲み込むために固有のものではないが、一般的にはNPMに。これらのパッケージを更新するかどうかを試してください。私は、更新されたパッケージを使用するかどうかは開発者の呼び出しであることを理解しています。パッケージを自分で更新しようとすると何かが壊れてしまうかもしれませんが、脆弱性が存在することを心配しています。

Answer 1

依存関係を更新しても問題が解決しないようにするには、バージョンコントロールが必要です。多くの場合、依存していない依存関係をそれほど問題なく更新することはできますが、そうすることで、それを使ってパッケージが破損する可能性があります。

推奨しないことは、非推奨エラーを無視することです。パッケージ管理者が最後に更新する必要があるのは間違いありませんが、問題はまだあなたのものです。これらの旧式のパッケージの多くは、現在セキュリティ上の脆弱性が知られているため、アプリケーションに影響を与えます。これまでの深さのレベルを上げる、唯一のトップレベルの依存関係を確認します0の深さに

npm outdated -depth=3

これはデフォルト：

は依存関係が時代遅れであるの固体絵のように実行何かを得るために、ある程度（3はほんの一例に過ぎません）、これまで以上に多くの依存関係が明らかになります。

さらに重要なことは、すでに指摘したように、これらの依存関係のどれに既知の脆弱性が存在するかを知ることです。 Snykのようなツールを使用して、これらの脆弱性をテストして、依存関係をopen-source database of vulnerabilitiesと比較して調べることができます。 Snykは、アップグレードがコードを壊した場合に、アップグレードせずに（CLIまたは自動Githubプルリクエストを使用して）脆弱性を修正することができます。

全開示：私はSnykで働いています。 :)これはまさにそれが助けようとしている問題だと言われています。