Open Jeonghyun109 opened 2 years ago
이 문제를 해결하기 위해 yarn audit
을 실행한 결과,
다음과 같은 vulnerabilities가 발견되었습니다.
yarn audit fix
를 실행하면
이러한 에러 메시지가 출력 되는데, 혹시 해결 방법을 아시나요?
@weumj @4spartame @qpitlove
https://github.com/Jeonghyun109/NAVER-FE-SSR/issues/37#issue-1073228925 경고는 github이 프로젝트가 사용하는 패키지에서 취약점을 발견했을때 알려주는것 입니다. https://docs.github.com/en/code-security/supply-chain-security/managing-vulnerabilities-in-your-projects-dependencies/about-alerts-for-vulnerable-dependencies
학습, 예제목적의 프로젝트에서는 일반적으로 크게 신경쓰시지 않아도 되지만, 실제 서비스에서 사용하는 경우나 불특정 다수가 접근할수 있게 서버에 배포한 경우, 취약점에 따라 단순 프로그램 오류에서부터 권한탈취까지 발생할수 있으므로 주의 및 해결해야할 필요성이 있습니다.
package manager의 검사 명령어로 검사하면 (yarn audit
/ npm audit
) 비슷한 결과를 얻을수 있는데, https://github.com/Jeonghyun109/NAVER-FE-SSR/issues/37#issuecomment-988523421 의 결과로는 glob-parent
/ brace
패키지에 심각한 취약점이 있는것을 확인할수 있으며, 이 패키지들은 babel-cil
패키지로부터 설치된것을 알 수 있습니다.
일반적인 해결방법은 취약점이 해결된 버전의 패키지를 설치하는것 이지만, babel-cil
는 deprecated 되었고, 이미 대체된 패키지인 @babel/cil
를 사용하고 있으므로 제거하는것이 좋을듯 합니다.
yarn
의 audit
명령어에서는 fix
옵션을 지원하지 않는것으로 알고있는데요.
npm audit fix
나, 유사한 명령어 또는 dependency install 명령어(npm install
/ yarn add
) alias로 설정되어 실행되고 있는것 같습니다.
에러는 style-loader
를 설치하면서 파일조작을 할 때, 권한이 없어서 발생하는 문제인것 같은데요.
정확한 해결 방법은 알 수 없지만 node_modules
또는 node_modules/style-loader
에 권한을 부여해보시거나 (chmod
등등), node_modules
디렉토리를 제거하고 의존성을 재설치하는 것도 시도해볼수 있을것 같습니다. (yarn install
/ npm install
)
아니면 https://lahuman.github.io/wsl_vscode_eaccess/ 의 내용을 참고해보셔도 좋을것 같습니다.
NAVER-FE-SSR 디렉토리의 visibility를 private에서 public으로 변경한 뒤부터 위와 같은 경고문이 나타납니다. 눌러보면 아래와 같은 화면이 나오는데, 혹시 이 부분에 대해서 알고 계시는 분 있으신가요?