[Issue] Github Dependabot alerts: follow-redirects 1.14.7

며칠 전에 github에 dependabot을 설정해놓은 내 레포에 위와 같은 경고가 떴다.

follow-redirects라는 해당 Dependancy는 axios에서 사용중이었고, 이전 trim와 동일하게 package.json을 고친다고 해결할 수 있는 문제가 아니었다.

 

간단하게  > npm audit fix 로 해결할 수 있으나 나는 yarn을 사용하고 있었고, yarn은  > yarn audit 까지만 지원하고  > yarn audit fix 는 지원하지 않았다.

 

따라서 아래와 같은 절차로 해결하였다.

 

npm install --package-lock-only # 뭔가 package.json이 아닌 node_modules를 기준으로 package-lock.json을 만드는듯했다.

npm audit fix # 필요하다면 --force 옵션 붙이기

rm node_modules # 그냥 삭제해도 무방

rm yarn.lock

yarn import # package-lock.json 기반으로 yarn.lock 생성

rm package-lock.json

yarn install

 

 

그리고 일주일 정도가 지난 오늘 글을 작성하면서 axios 공식 레포에 들어가보니 버전이 3일 전에 0.24.0에서 0.25.0으로 업데이트되어있었다. Changelog를 확인해보니 해당 이슈도 해결이 되었다.

 

취약점 발견 알림이 왔을 때 본인이 버려진 라이브러리를 사용하는 게 아니라면 해당 라이브러리가 업데이트될 때까지 기다리는 것이 가장 좋은 해결책이라고 한다. 왜냐하면  > npm audit fix (특히 --force)는 자칫하면 전체 프로젝트에 영향을 끼쳐 생각지도 못한 부분이 안될 수도 있기 때문이다.

 

그렇지만 업데이트가 몇날며칠이 걸릴 지 모르기 때문에 취약점 발견 알림이 온다면 일단  > npm audit fix 로 해결하되 모든 기능이 잘 맞물려 돌아가는 지 꼼꼼이 확인한 뒤 배포해야할 것 같다.