Closed hayaten0415 closed 2 years ago
hayaten0415
commented
2 years ago colors.jsの直接仕様の結果確認
~/Shitforces/frontend$ npm ls colors
frontend@0.1.0 /home/hayaten/Shitforces/frontend
└── (empty)
~/Shitforces$ npm ls colors
/home/hayaten/Shitforces
└── (empty)
ShopOne
commented
2 years ago 連絡ありがとうございます 了解です 再度確認しますが、僕も npm ls でなさそうなのは確認したので大丈夫そうですかね
no-yan
commented
2 years ago あげてくださったコマンドnpm lsは、npm ls --depth=0と異なり依存パッケージも探索するという認識です。なので大丈夫だと思います。認識違いがあれば訂正してください。
もしあったとしてセキュリティホール発覚の事例と違い、サーバーではアップデートをしなければパッケージを更新しようがないのでこちらは問題ないという認識ですが、どうなんでしょうか?
ShopOne
commented
2 years ago あ、結構最近のアレだったのか…(見てなかったです) その認識で合ってるはずです
colors.jsについて以下のリンクの通り、悪意のあるバージョンがリリースされています。 frontendディレクトリ配下とルートディレクトリ配下で直接colors.jsは使われていないことは確認しましたが colors.jsに依存しているパッケージが膨大なため、最悪サーバー停止する必要があるかもしれません。 https://zenn.dev/azu/articles/d56615b2e11ad1