[Issue] Github Dependabot alerts: trim 0.0.1

프로젝트 진행 도중, Github의 Dependabot alerts가 떠서 매우 당황했었다.

 

trim이라는 라이브러리의 0.0.1 버전에서 문제가 있어 뜨는 경고였는데, 얘는 내 의지로 설치한 라이브러리가 아니었다.

그래서 평소에는 왜 있는지 생각해본 적 없던 package-lock.json을 (나는 yarn을 쓰기에 yarn.lock을) 열어보았다.

 

파일 내에서 trim을 검색해보니 remark-parse라는 라이브러리에서 설치한 것이었고, 이 라이브러리 또한 내 의지로 설치한 것이 아니었기에 거꾸로 검색해보니 prettier에서 쓰고 있는 라이브러리였다.

 

혼란스러웠던 것은 기존에 prettier를 사용할 때에는 문제를 일으키지 않다가 왜 이번에 문제가 생긴 것인지, 구글링해도 안 나오는지였는데, 결론은 prettier가 prettier/prettier라는 버전으로 설치가 되어있던 것이 문제였다 (?)

 

분명 설정을 엊그제 했는데 어쩌다가 이런 기괴한 버전이 설치되었는지 알 수 없었다.

 

알아본 결과 해당 버전은 prettier의 다음 버전으로 현재 개발 중인 버전이었다.

이 버전이 안정되었을 때에도 trim 구버전 문제가 남아있을 지는 모르겠으나, 현재는 해당 문제가 발생하는 중이다.