<aside> ✍️ 작성자: 김혜원 작성일: 24.06.09
</aside>
Dependabot alerts / #1 ip SSRF improper categorization in isPublic The ip package through 2.0.1 for Node.js might allow SSRF because some IP addresses (such as 127.1, 01200034567, 012.1.2.3, 000:0:0000::01, and ::fFFf:127.0.0.1) are improperly categorized as globally routable via isPublic. NOTE: this issue exists because of an incomplete fix for CVE-2023-42282.
package-lock.json 파일 중 ip 라는 패키지에 문제가 있어서 경고가 발생한다.
확인해 봤으나 정확히 어떤 패키지에서 ip 패키지를 사용하는지 특정하기 어려웠다.
그래서 우선 dependencies를 쭉 훝어보면서 쓰지 않는 것은 삭제하고, package-lock.json과 node_modules 폴더를 삭제한 후 재설치 했다. 작업 후 브랜치를 메인에 병합하니 위 security alert가 완료된 것으로 자동 종료되었다.
아마도 전에 설치했다가 제거한 패키지 중에 문제되는 패키지가 있었고, npm uninstall 을 했어도 package-lock.json 에는 여전히 그 패키지의 dependencies가 남아있어서 이와 같은 경고가 발생한 게 아닐까 싶다.
앞으로는 주기적으로 삭제 및 재설치를 해야겠다.