Skip to content

npm パッケージについて脆弱性パッチを適用および内部の細かな改善を実施#4896

Merged
rnakagawa16 merged 6 commits intomainfrom
feature/脆弱性パッチを適用
Mar 23, 2026

Hidden character warning

The head ref may contain hidden characters: "feature/\u8106\u5f31\u6027\u30d1\u30c3\u30c1\u3092\u9069\u7528"
Merged

npm パッケージについて脆弱性パッチを適用および内部の細かな改善を実施#4896
rnakagawa16 merged 6 commits intomainfrom
feature/脆弱性パッチを適用

Conversation

@KentaHizume
Copy link
Copy Markdown
Contributor

@KentaHizume KentaHizume commented Mar 23, 2026
edited
Loading

この Pull request で実施したこと

  • 下記の脆弱性に対するパッチを適用しました。
  • eslint 9 について、9系最新版の 9.39.4 までアップグレードしました。
  • AzureADB2Cサンプルについて下記の改善をしました。
    • @vitest/eslint-plugin のパッチバージョンが他のアプリより 1古いため、アップデートしました。
    • heroicon を使用していないため、削除しました。

確認事項

  • npm install/ci 時に表示される脆弱性に関する警告が、下記に記載のもの以外にないこと。

この Pull request では実施していないこと

なし

Issues や Discussions 、関連する Web サイトなどへのリンク

  • 下記の脆弱性については、openapi-generator でのパッチバージョンがまだ出ておらず、かつ内容として対応優先度が低いので許容します。
  • ファイル種別を判定する処理で、対象ファイルが細工されているZIPだと読み取りサイズが莫大になりメモリ等を食い尽くす危険性があります。
  • 現在アプリにファイルのアップロードを行う処理がないため、影響はありません。
file-type  13.0.0 - 21.3.1
Severity: moderate
file-type affected by infinite loop in ASF parser on malformed input with zero-size sub-header - https://github.com/advisories/GHSA-5v7r-6r5c-r473
file-type: ZIP Decompression Bomb DoS via [Content_Types].xml entry - https://github.com/advisories/GHSA-j47w-4g3g-c36v
fix available via `npm audit fix --force`
Will install @openapitools/openapi-generator-cli@2.18.4, which is a breaking change
node_modules/file-type
  @nestjs/common  10.4.16 - 10.4.22 || 11.0.16 - 11.1.16 || >=12.0.0-alpha.0
  Depends on vulnerable versions of file-type
  node_modules/@nestjs/common
    @openapitools/openapi-generator-cli  >=2.19.0
    Depends on vulnerable versions of @nestjs/common
    node_modules/@openapitools/openapi-generator-cli

3 moderate severity vulnerabilities

@KentaHizume KentaHizume self-assigned this Mar 23, 2026
@KentaHizume KentaHizume added target: Dressca サンプルアプリケーションDresscaに関係がある npm npmパッケージの更新 target: Azure AD B2C Auth Azure AD B2C認証の要件別サンプルに関係がある 内部の改善 機能更新やドキュメント更新ではない改善 target: Entra ID External ID Entra ID External ID認証の要件別サンプルに関係がある labels Mar 23, 2026
@KentaHizume KentaHizume added this to the v2.1.0 milestone Mar 23, 2026
@KentaHizume KentaHizume linked an issue Mar 23, 2026 that may be closed by this pull request
脆弱性パッチの適用(npm) #4846
Closed
@KentaHizume KentaHizume marked this pull request as ready for review March 23, 2026 05:23
Copilot AI review requested due to automatic review settings March 23, 2026 05:23
@KentaHizume KentaHizume requested a review from rnakagawa16 March 23, 2026 05:24
Copilot AI reviewed Mar 23, 2026
View reviewed changes
Copy link
Copy Markdown
Contributor

Copilot AI left a comment

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Pull request overview

npm パッケージの脆弱性対応と依存関係の整合性改善を目的に、サンプルフロントエンド群の依存関係(主に eslint 系)を更新し、不要な依存を削除するPRです。

Changes:

  • 脆弱性対応を含む依存関係更新(minimatch / ajv / flatted などの間接依存も更新)
  • eslint を 9.39.4 へアップグレード(関連する eslint パッケージも追従)
  • AzureADB2C サンプルで未使用の @heroicons/vue を削除し、@vitest/eslint-plugin を他サンプルと同一パッチへ更新

Reviewed changes

Copilot reviewed 4 out of 7 changed files in this pull request and generated no comments.

Show a summary per file
File Description
samples/ExternalIDSampleForSPA/auth-frontend/package-lock.json eslint 9.39.4 反映+関連依存(minimatch/flatted 等)の更新と整合性調整
samples/ExternalIDSampleForSPA/auth-frontend/app/package.json eslint を 9.39.4 に更新
samples/Dressca/dressca-frontend/package-lock.json eslint 9.39.4 反映+関連依存(minimatch/flatted 等)の更新と整合性調整
samples/Dressca/dressca-frontend/consumer/package.json eslint を 9.39.4 に更新
samples/Dressca/dressca-frontend/admin/package.json eslint を 9.39.4 に更新
samples/AzureADB2CAuth/auth-frontend/package-lock.json eslint 9.39.4 反映、@vitest/eslint-plugin 更新、@heroicons/vue 削除を lock に反映
samples/AzureADB2CAuth/auth-frontend/app/package.json eslint を 9.39.4 に更新、@vitest/eslint-plugin を 1.6.12 に更新、@heroicons/vue を削除
Files not reviewed (3)
  • samples/AzureADB2CAuth/auth-frontend/package-lock.json: Language not supported
  • samples/Dressca/dressca-frontend/package-lock.json: Language not supported
  • samples/ExternalIDSampleForSPA/auth-frontend/package-lock.json: Language not supported

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.

@KentaHizume KentaHizume requested review from a team and removed request for a team March 23, 2026 05:26
@KentaHizume KentaHizume changed the title npm パッケージについて脆弱性パッチを適用および整合性の確認 npm パッケージについて脆弱性パッチを適用および内部の細かな改善を実施 Mar 23, 2026
@rnakagawa16
Copy link
Copy Markdown
Contributor

rnakagawa16 commented Mar 23, 2026

以下動作確認実施しました。

  • npm ci/install 実行時に上記以外の警告が存在しないこと
  • Node.js が最新で動作し、package-lock.json に差分が出ないこと
  • アプリケーションが正常に実行できること

マージします。

@rnakagawa16 rnakagawa16 merged commit 6164679 into main Mar 23, 2026
18 checks passed
@rnakagawa16 rnakagawa16 deleted the feature/脆弱性パッチを適用 branch March 23, 2026 06:09
@rnakagawa16 rnakagawa16 mentioned this pull request Apr 3, 2026
Merged
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

Copilot code review Copilot Copilot left review comments

@rnakagawa16 rnakagawa16 rnakagawa16 approved these changes

Assignees

@KentaHizume KentaHizume

Labels

npm npmパッケージの更新 target: Azure AD B2C Auth Azure AD B2C認証の要件別サンプルに関係がある target: Dressca サンプルアプリケーションDresscaに関係がある target: Entra ID External ID Entra ID External ID認証の要件別サンプルに関係がある 内部の改善 機能更新やドキュメント更新ではない改善

Projects

None yet

Milestone

v2.1.0

Development

Successfully merging this pull request may close these issues.

脆弱性パッチの適用(npm)

3 participants

@KentaHizume @rnakagawa16