[트러블슈팅] Dependabot alerts: Inefficient Regular Expression Complexity in nth-check

TIL

[트러블슈팅] Dependabot alerts: Inefficient Regular Expression Complexity in nth-check

code10 2023. 3. 18. 23:05

Dependabot alerts 해결

다른 프로젝트 작업 중- 깃허브 보안 취약 문제 Dependabot alerts 등장ㅠ 하지만 해결했으니!😃

버전이 낮아서 보안이 취약하다는 경고들인데..!

(npm이었으면 더 쉽게 해결했을텐데 yarn패키지로 만들어서 조금 더 걸린 것 같다)
🍍1. react-scripts를 devDependencies로 옮기기(dependencies에 있었다):

1-1. yarn remove react-scripts

1-2. yarn add react-scripts -D

//package.json

  "devDependencies": {
    "react-scripts": "^5.0.1"
  },

=> 하나 해결됨! 문제는 nth-check..

(npm이면) audit으로 해결할 수 있다고 하나

2. npm audit —production

https://stackoverflow.com/questions/71282206/github-dependabot-alert-inefficient-regular-expression-complexity-in-nth-check

yarn이라서 npm 명령을 실행할 수가 없었다.. yarn-audit-fix라는 라이브러리가 있었다! yarn add yarn-audit-fix 설치 후 yarn yarn-audit-fix 실행!

=> 하지만 해결되지 않아서 다시 지웠다..

yarn 패키지 내 설치된 것들은 버전을 어떻게 바꾸지ㅠ? 싶었는데 resolutions라는 게 있었다.
https://classic.yarnpkg.com/en/docs/selective-version-resolutions/

(yarn이니까)
🍍2. package.json 파일에 resolutions 추가해서 버전 오버라이드 하기!
2-1. nth-check 버전을 명시해서 업데이트 했으나 해결 안됨.
2-2. css-select 내에 낮은 버전의 nth-check가 있던 것니 문제!! css-select도 버전을 명시하고 yarn install 실행하니

//package.json

  },
  "resolutions": {
    "nth-check": "2.0.1",
    "css-select": "^4.1.3"
  }

해결!