리눅스 환경에 repo를 받아온 뒤 패키지를 설치했더니 보안경고가 떴다.
Severity가 빨간색으로 high라고 당당히 적혀 있어서 그냥 넘어가기 어려웠다.
링크에 들어갔더니 악의적 공격자로부터 공격 받을 수 있으며, 모든 버전의 dicer에서 발견된 취약점이라고만 설명하고 있지 해결방법이 없다. (하긴 애초에 해결법이 마련된 상황이어서 버전업이 되었다면, npm audit fix로 수정이 되어야한다)
포스팅 시점을 기준으로 stackoverflow에도 어떠한 게시글도 없고, 생각해보자니 이건 뭐 stackoverflow에 질문할만한 사항이 아니긴하다. 어차피 내가 해결하는건 지금 수준에서 가능한 것도 아니고, 그게 가능하면 commiter가 되는 것을 의미하는지라... 결국 문제가 해결된 버전이 올라올때까지 기다리거나 다른 패키지를 설치해서 dicer를 사용하지 않는 방법 뿐.
그래서 dicer가 뭐하는 녀석인지를 찾아봤다.
dicer는 보다시피 busboy의 하위 모듈이다.
그리고 busboy는 multer의 하위 모듈이다.
multer는 파일 업로드 미들웨어다.
재밌는건 사실 지금 내가 만든 웹앱에서는 Multer가 필요 없다는 점이다..(예전에 프로필사진 업로드 기능을 넣었다가 다시 빼기로 결정해서 현재는 안쓰는 상태)
물론 ver2.0에서는 다시 프로필사진 기능을 넣을 예정이므로 굳이 패키지를 지우기보다는, 그리고 당장 쓰고 있는 미들웨어가 아니라는 점에서 굳이 패키지를 대체하기 보다는 보안취약점이 해결되기를 기다리는 쪽으로 결론을 내렸다.
'Learning-Log > Computer Science' 카테고리의 다른 글
| [Node.js/MongoDB] Mongoose에서 ObjectId 값을 제대로 못 받아오는 현상 (0) | 2022.05.30 |
|---|---|
| Parsing(파싱)과 Parser(파서) (0) | 2022.05.30 |
| [Linux/Ubuntu] Ubuntu에 프로그램 설치하기 - 심화편 (0) | 2022.05.30 |
| [Linux/Ubuntu] WSL2 환경에서 Git 시작하기 (0) | 2022.05.30 |
| [Node.js] NVM을 통해 Node.js를 설치 및 관리하기 (0) | 2022.05.30 |