New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
fix(deps-dev): #121 minimist 脆弱性対応 GHSA-7fhm-mqm4-2wp7 #122
Conversation
Bumps [eslint-config-prettier](https://github.com/prettier/eslint-config-prettier) from 6.9.0 to 6.10.0. - [Release notes](https://github.com/prettier/eslint-config-prettier/releases) - [Changelog](https://github.com/prettier/eslint-config-prettier/blob/master/CHANGELOG.md) - [Commits](prettier/eslint-config-prettier@v6.9.0...v6.10.0) Signed-off-by: dependabot-preview[bot] <support@dependabot.com>
Bumps [acorn](https://github.com/acornjs/acorn) from 7.1.0 to 7.1.1. **This update includes a security fix.** - [Release notes](https://github.com/acornjs/acorn/releases) - [Commits](acornjs/acorn@7.1.0...7.1.1) Signed-off-by: dependabot-preview[bot] <support@dependabot.com>
Bumps [eslint-plugin-jsdoc](https://github.com/gajus/eslint-plugin-jsdoc) from 20.3.1 to 22.1.0. - [Release notes](https://github.com/gajus/eslint-plugin-jsdoc/releases) - [Commits](gajus/eslint-plugin-jsdoc@v20.3.1...v22.1.0) Signed-off-by: dependabot-preview[bot] <support@dependabot.com>
Bumps [ava](https://github.com/avajs/ava) from 2.4.0 to 3.5.0. - [Release notes](https://github.com/avajs/ava/releases) - [Commits](avajs/ava@v2.4.0...v3.5.0) Signed-off-by: dependabot-preview[bot] <support@dependabot.com>
Bumps [eslint-plugin-import](https://github.com/benmosher/eslint-plugin-import) from 2.20.0 to 2.20.1. - [Release notes](https://github.com/benmosher/eslint-plugin-import/releases) - [Changelog](https://github.com/benmosher/eslint-plugin-import/blob/master/CHANGELOG.md) - [Commits](import-js/eslint-plugin-import@v2.20.0...v2.20.1) Signed-off-by: dependabot-preview[bot] <support@dependabot.com>
これ、ほんとにmkdirpの依存のminimistをメジャーアップデートして安全なんかなぁ・・・。 |
確かにアプデしたところで、 $ npm install
npm WARN deprecated mkdirp@0.5.3: Legacy versions of mkdirp are no longer supported. Please update to mkdirp 1.x. (Note that the API surface has changed to use Promises in 1.x.)
... ただ、本家 ESLint 側でバックポートの PR がリジェクトされたのは、
以上から、とりあえずはアプデしておいていいのではないか、と。 やっぱり mkdirp を使わない ESLint v7 がいいとは思うので、とりまマージして、別途 ESLint v7-alpha を使っちゃうか、メジャー・リリースされたら、そっち(v7)に乗り換えるとかでいいんじゃないですかね。 ちなみに、この PR で
|
ああ、なるほど、この段階でmajorは上がってるのか、そして それなら大丈夫そうですね。 |
下記デプロイのプレビューで一連の動作確認しました。明日にでもマージしまーす。 Netlify べんりー |
下記、本家の PR で言及されたように、パッケージとロックファイルをアップデートしただけです。