TL;DR: 라이브러리의 의존성에 보안 문제가 생겼다고 해서 라이브러리를 업데이트해야 하는 건 아니다. package-lock.json 파일만 수정해도 되는 경우가 있다.
eslint-plugin-import
- tsconfig-paths
- json5: ^1.0.1
json5 1.0.1에 보안 문제가 발생한 상황 (이어서)
github.com/import-js/eslint-plugin-import/issues/2649#issuecomment-1371179065
npm install 할 때 tsconfig-paths의 의존성으로 json5 v1.0.1을 설치한 사용자들에게 dependabot 보안 알림이 발송되었다. 캐럿 버전(^1.0.1)에 따라 v1.0.2를 설치해도 문제가 되지 않는다. 따라서 lock 파일의 1.0.1 ➡️ 1.0.2만 수정하면 보안 문제가 해결된다. (이어서)
아래 과정을 거치면 dependencies의 dependencies가 최신 버전으로 설치되는 것을 확인할 수 있다. 기존에 설치된 모듈이 있다면 이를 바탕으로 lock 파일을 재생성하므로 2️⃣번 과정이 중요하다.
1️⃣ package-lock.json 파일 삭제
2️⃣ node_modules 폴더 삭제 ⭐️
3️⃣ npm install (lock 파일 재생성)