Potential security vulnerabilities 경고문

[Jeonghyun109]

NAVER-FE-SSR 디렉토리의 visibility를 private에서 public으로 변경한 뒤부터 위와 같은 경고문이 나타납니다. 눌러보면 아래와 같은 화면이 나오는데, 혹시 이 부분에 대해서 알고 계시는 분 있으신가요?

[Jeonghyun109]

이 문제를 해결하기 위해 yarn audit을 실행한 결과, 다음과 같은 vulnerabilities가 발견되었습니다. yarn audit fix를 실행하면 이러한 에러 메시지가 출력 되는데, 혹시 해결 방법을 아시나요? @weumj @4spartame @qpitlove

[weumj]

https://github.com/Jeonghyun109/NAVER-FE-SSR/issues/37#issue-1073228925 경고는 github이 프로젝트가 사용하는 패키지에서 취약점을 발견했을때 알려주는것 입니다. https://docs.github.com/en/code-security/supply-chain-security/managing-vulnerabilities-in-your-projects-dependencies/about-alerts-for-vulnerable-dependencies

학습, 예제목적의 프로젝트에서는 일반적으로 크게 신경쓰시지 않아도 되지만, 실제 서비스에서 사용하는 경우나 불특정 다수가 접근할수 있게 서버에 배포한 경우, 취약점에 따라 단순 프로그램 오류에서부터 권한탈취까지 발생할수 있으므로 주의 및 해결해야할 필요성이 있습니다.

---

package manager의 검사 명령어로 검사하면 (yarn audit / npm audit) 비슷한 결과를 얻을수 있는데, https://github.com/Jeonghyun109/NAVER-FE-SSR/issues/37#issuecomment-988523421 의 결과로는 glob-parent / brace 패키지에 심각한 취약점이 있는것을 확인할수 있으며, 이 패키지들은 babel-cil 패키지로부터 설치된것을 알 수 있습니다.

일반적인 해결방법은 취약점이 해결된 버전의 패키지를 설치하는것 이지만, babel-cil는 deprecated 되었고, 이미 대체된 패키지인 @babel/cil를 사용하고 있으므로 제거하는것이 좋을듯 합니다.

---

yarn의 audit 명령어에서는 fix 옵션을 지원하지 않는것으로 알고있는데요. npm audit fix나, 유사한 명령어 또는 dependency install 명령어(npm install / yarn add) alias로 설정되어 실행되고 있는것 같습니다.

에러는 style-loader를 설치하면서 파일조작을 할 때, 권한이 없어서 발생하는 문제인것 같은데요. 정확한 해결 방법은 알 수 없지만 node_modules 또는 node_modules/style-loader에 권한을 부여해보시거나 (chmod 등등), node_modules 디렉토리를 제거하고 의존성을 재설치하는 것도 시도해볼수 있을것 같습니다. (yarn install / npm install)

아니면 https://lahuman.github.io/wsl_vscode_eaccess/ 의 내용을 참고해보셔도 좋을것 같습니다.