yarn whyコマンドを駆使してGitHubセキュリティアラートに対応する
色々と教えてもらったので自分の備忘録としてブログにしておきます。GitHubにはセキュリティアラートという機能があります。この機能はリポジトリ内の依存ライブラリに脆弱性が発見された場合、アラートを投げてくれるというものです。リポジトリの設定から機能を有効にしておくだけで、依存ライブラリの脆弱性を自動で検知してくれます。JavaScriptの場合は定期的にリポジトリ内のpackage.jsonとlockファイルがチェックされれます。packaeg.jsonやlockファイルの中のライブラリに脆弱性がないかを脆弱性データベースに問い合わせ、脆弱性が検知されたらアラートを発行されます。