현재 사용하는 npm 라이브러리 내부에 vulnerable한 라이브러리를 사용하고 있다면 어떻게 해결할까요?

Question

안녕하십니까. 선배님들. 구글링해도 답을 찾을 수 없어서 오키에 질문드립니다.저는 프로젝트의 dependency-check를 사용해서 취약점을 체크합니다.이전에는 아무 문제 없이 사용되던 라이브러리도, 버전이 오래되면 특정 버전의 라이브러리가 취약하다는 에러가 발생하더군요.그 라이브러리 자체가 문제라면, 버전을 업그레이드 한다 던 가, 다른 대안 라이브러리를 찾는다 던 가 해결할 수 있는데, 라이브러리 안에 들어있는 라이브러리가 오래된 버전인 경우 난감하더군요.A라는 라이브러리는 내부에 B라는 라이브러리를 포함하고 있습니다.제 프로젝트는 A라이브러리만 설치하고 사용하는데, Package-lock.json 파일을 보면, A라이브러리가 B라이브러리를 자동으로 설치하더군요.dependency-check에서는 계속 B 라이브러리가 취약하다. 업그레이드 해야 된다 라는 경고를 띄웁니다. ex)└─┬ &#64;storybook/react&#64;6.4.0 └─┬ react-dev-utils&#64;11.0.4 └── immer&#64;8.0.1예를 들어, &#64;storybook/react을 설치하면, 그 밑에 react-dev-utils이 설치되고, immer을 사용합니다. immer&#64;8.0.1이 문제인 경우, immer&#64;9.0.16으로 업그레이드 하고 싶다면제일 상단의 A 라이브러리가 버전 업 되어서 B라이브러리를 최신 버전을 사용한다면 제일 좋겠지만, 오픈소스다 보니 이게 언제 수정 되어서 올라올지 모르겠더군요.이걸 제 쪽에서 수정해서 해결할 수 있는 방법이 없을지 궁금합니다.

doooss · Accepted Answer

유지 보수 관점에서 사실상 수정 방법 없습니다. (일일히 업데이트 시켜도 되나, 라이브러리가 작동 안 할 가능성이 높음). 다만, 라이브러리 개발자들도 보안 이슈와 관련하여 CI/CD 과정에서 체크 하도록 하고, 이슈 발생을 알고 있기 때문에 프로덕션에서 쓰이는 라이브러리의 경우 업데이트가 되고 있다면 빠르게 고쳐지는 편 입니다. 예시로 드신 스토리북의 경우 의존성상 상당히 많은 이슈를 띄우지만, devdependency 라이브러리에 해당되어 업데이트가 늦어지는 경향이 있긴있습니다. (현재 7 ver beta 에선 보안 이슈를 일으키는 라이브러리 의존성이 수정 되었습니다.)

Mambo · Answer

https://github.com/facebook/create-react-app/issues/10411#issuecomment-990621338위와 같이 package.json의 resolutions으로 해결한 코멘트가 보이는데 시도해보셨나요?

현재 사용하는 npm 라이브러리 내부에 vulnerable한 라이브러리를 사용하고 있다면 어떻게 해결할까요?

2개의 답변

#dependency 목록