Github의 취약성 알림 대처 방법

취약성 탐지 알림 from Github

자고 일어났는데 Github으로 부터 다음과 같이 취약성 알림 메일이 왔습니다.

[sonim1/sonim1-mysite] One of your dependencies may have a security vulnerability

이런 메일 처음 받아본지라 깜짝 놀랐네요.

뭔가 알아보니 package-lock.json 파일을 같이 올릴 경우 Github에서 알려진 취약점이 있는 라이브러리에 대해서 알림을 보내줍니다.

Github 저장소에서 Insight > Dependency Graph 메뉴를 통해 접근 및 확인 가능합니다.

이슈를 해결한 이후라서 인터넷에서 찾아온 이미지!

삽질의 시작

딱히 중요한 데이터가 있는 건 아니지만 신경 쓰이니 고치기로 합니다.

package-lock.json 파일을 보니 해당 라이브러리를 여기저기 사용하고 있더군요.

2.x 3.x 4.x 뭐 다양하게 사용하고 있었습니다.

yarn outdated

위 명령어로 오래된 라이브러리들을 확인 후 전부 latest 버전으로 업그레이드해주기로 합니다!

그 후 예상대로 발생하는 수많은 에러. (Webpack 3 -> 4, Vue 1 -> 2 등등… Major 버전이 달라져 버렸으니 당연히…)

2시간에 거쳐 발생하는 수많은 오류를 찾아 마이그레이션!!
다시 Github에 Push 후 Dependency Graph 메뉴로 가봤습니다.

허나 여전히 발생하는 알람.

응?

package-json.lock 파일에서 수동으로 고쳐줘야 하나? 어떻게 하지? 고민하다가 손쉬운 해결방법을 발견하게 됩니다.

해결방법

해당 최신 라이브러리를 Dependencies에 추가하면 해결되는 일이었습니다.

네, 궂이 모든 Outdated 된 라이브러리들을 업데이트해줄 필요 없던 거였죠.

제가 사용하지 않는 라이브러리라 해당 사용 라이브러리를 업그레이드해줘야 하는 줄 알았는데 생각해보니 제 Dev dependency에 추가해주면 되는 부분이었네요.

하하

npm update hoek
npm -D install hoek 

저는 hoek 라이브러리 문제였지만 다른 문제일 경우 이름만 바꿔주면 되겠죠?

끝입니다.

내 2시간 ㅜㅜ…