npm パッケージに脆弱性パッチを適用する

[KentaHizume]

この Pull request で実施したこと

• 脆弱性パッチを適用しました。
• 脆弱性パッチを適用するために、 openapitools/openapi-generator-cli を 2.31.0 にバージョンアップしました。
  • openapi-generator-cli をアップデートし、推移的に依存するパッケージに脆弱性パッチを適用 maris#4953

この Pull request では実施していないこと

下記の path-to-regxp の脆弱性について、下記の issue の対応待ちです。
ReDoS攻撃に対して脆弱な正規表現を用いていなければ影響はありません。

• @nestjs/core -> path-to-regexp : CVE-2026-4923, CVE-2026-4926 OpenAPITools/openapi-generator-cli#1182

• これにより、 openapi-genartor を使用している AzureADB2C 、ExternalID 、 Dressca では 3件の警告が出ます。

3 high severity vulnerabilities

path-to-regexp  8.0.0 - 8.3.0
Severity: high
path-to-regexp vulnerable to Denial of Service via sequential optional groups - https://github.com/advisories/GHSA-j3q9-mxjg-w52f
path-to-regexp vulnerable to Regular Expression Denial of Service via multiple wildcards - https://github.com/advisories/GHSA-27v5-c462-wpq7
fix available via `npm audit fix --force`
Will install @openapitools/openapi-generator-cli@2.18.4, which is a breaking change
node_modules/path-to-regexp
  @nestjs/core  >=11.0.0-next.1
  Depends on vulnerable versions of path-to-regexp
  node_modules/@nestjs/core
    @openapitools/openapi-generator-cli  >=2.19.0
    Depends on vulnerable versions of @nestjs/core
    node_modules/@openapitools/openapi-generator-cli

3 high severity vulnerabilities

Issues や Discussions 、関連する Web サイトなどへのリンク

なし

[Copilot]

Pull request overview

npm パッケージの脆弱性対応の一環として、サンプル SPA/CSR フロントエンド群で利用している @openapitools/openapi-generator-cli を更新し、併せて lockfile 上の依存解決結果（間接依存のバージョン）を更新する PR です。

Changes:

• @openapitools/openapi-generator-cli を 2.28.3 → 2.31.0 に更新（複数サンプル）
• 各サンプルの package-lock.json を更新し、関連する間接依存（例: @nestjs/*, glob, fs-extra など）を追随
• ルートの package-lock.json でも脆弱性対応を含む依存更新（例: express-rate-limit, path-to-regexp, lodash など）

Reviewed changes

Copilot reviewed 4 out of 8 changed files in this pull request and generated 3 comments.

Show a summary per file

File	Description
samples/web-csr/dressca-frontend/package-lock.json	openapi-generator-cli 更新に伴う依存解決結果の更新
samples/web-csr/dressca-frontend/consumer/package.json	openapi-generator-cli のバージョン更新
samples/web-csr/dressca-frontend/admin/package.json	openapi-generator-cli のバージョン更新
samples/external-id-sample-for-spa/auth-frontend/package-lock.json	openapi-generator-cli 更新に伴う依存解決結果の更新
samples/external-id-sample-for-spa/auth-frontend/app/package.json	openapi-generator-cli のバージョン更新
samples/azure-ad-b2c-sample/auth-frontend/package-lock.json	openapi-generator-cli 更新に伴う依存解決結果の更新
samples/azure-ad-b2c-sample/auth-frontend/app/package.json	openapi-generator-cli のバージョン更新
package-lock.json	ルート（ドキュメント lint 等）向け依存の脆弱性対応更新

Files not reviewed (3)

• samples/azure-ad-b2c-sample/auth-frontend/package-lock.json: Language not supported
• samples/external-id-sample-for-spa/auth-frontend/package-lock.json: Language not supported
• samples/web-csr/dressca-frontend/package-lock.json: Language not supported

---

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.