programming javascript

npm ci 実行時に脆弱性の警告(Vulnerability)が表示されたので対処方法を備忘録としてまとめました。

サムネイル

Environment

  • Ubuntu 24.04.3 LTS (WSL2ディストリビューション)
  • Docker Engine 28.4.0
  • Amazon Linux 2023(DockerコンテナのOS)
  • Node.js 24.13.1
  • npm 11.8.0

npm ci を実行したとき、いくつか脆弱性の警告(Vulnerability)が表示されました。
npm audit fix を実行するように推奨されたので実行したのですが、問題は解消されませんでした。

npm audit report の結果:

ajv  7.0.0-alpha.0 - 8.17.1
Severity: moderate
...
minimatch  <10.2.1
Severity: high

これによると、上記のバージョンのパッケージに脆弱性があるようです。
親パッケージのアップデートをしてみましたが(例: npm install --save-dev jest@latest)、それらも脆弱性のあるバージョンに依存しているため解決にはなりませんでした。

そのため、強制的に安全なバージョンを使ってもらうため、package.jsonoverrides を追加しました。

package.json:

{
...
  "overrides": {
    "ajv": "^8.17.1",
    "minimatch": "^10.2.1"
  }
}

npm install を実行すると脆弱性の警告は出なくなっていました。

注意:
overrides は強制的にパッケージのバージョンを変えるため、変更後のバージョンでもすべてのパッケージがきちんと動くかどうか確かめてください。

関連記事