Skip to content

[P1][Dependencies] npm audit 10件とdeprecated toolchainを解消する #54

Description

@ootakazuhiko

背景

itdojp/it-engineer-knowledge-architecture#226 の固定SHA 4df2934 監査で、npm testは成功したがnpm auditが10件(moderate 6 / high 4)を報告した。

主な対象:

  • brace-expansion
  • follow-redirects
  • js-yaml / markdown-it / minimatch / smol-toml(markdownlint-cli経由)
  • linkify-it
  • picomatch
  • qs

加えてglob 10.5.0とwhatwg-encodingのdeprecation warningがある。

対応

  • direct dependencyとlockfileの影響範囲を確認する
  • 非breakingなtransitive updateを先に適用する
  • 必要ならmarkdownlint-cliを現行安全版へ更新し、breaking差分を検証する
  • globを現行対応版へ更新する
  • npm ci / npm test / npm auditを通す
  • generated docs差分が意図したものだけか確認する
  • PR review / CI / Pages / public smokeを確認する

完了条件

  • npm audit 0 vulnerabilities
  • deprecated direct dependencyを解消または根拠付きで別追跡する
  • review completeness status=ok / unresolved 0
  • main CI・Pages成功

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Type

    No type

    Fields

    No fields configured for issues without a type.

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions