npm-check-updatesからupdatesに移行しました。

npmのコマンドを打っていると、「おまえが使ってるパッケージに脆弱性あり。npm auditで調べろ」という警告が出ていました。で、調べてみると、全部がnpm-check-updatesの関連でした。アップデートの目的の1つは脆弱性の解消なのに、そのチェッカーが脆弱っていうのは笑えない話です(npm-check-updatesはめったに使わないし、攻撃経路は限られているような気はしますが、だからと言って脆弱性を放置したくはないのです)。

見てみたら、npm-check-updates自体、既に更新がほとんどされなくなってました。これじゃあ仕方ないですね。

そして、issueも立ってました。

github.com

下まで読んでみたら、議論していた人の1人が「フォークしようと思ったけどそれはやめてupdatesを使うことにしたよ。これまでありがとう」と言ってるんですね。

www.npmjs.com

「updates」は、ほぼ同様の機能をもったパッケージです。導入してみたら、普通に使えました。

npm i updates --save-dev

このパッケージの性格を考えると、グローバルなインストールの方がいいかも。

npm i updates -g

updatesなら、脆弱性の警告もありません。

>npm audit

                       === npm audit security report ===

found 0 vulnerabilities
 in XXXX scanned packages

結論:updatesに移るといいよ。