弱掃報告修復決策:Node.js 套件 CVE 漏洞修復指南
· 閱讀時間約 19 分鐘

最近在公司常常在處理 Node.js 專案的套件 CVE 弱點修復,趁著記憶力還很新鮮來記錄一下最近整理的完整判斷決策流程。最一開始看到弱掃報告裡的 CVE、Fixed Version 與一長串 node_modules 路徑時,我只知道「有套件要升」,卻不知道該怎麼升。前幾次只能一邊查資料、一邊問 AI,直到處理過幾種不同的依賴關係後,我才慢慢發現:修復 Node.js 套件漏洞,其實是一個讀依賴 樹、判斷版本範圍,再選擇最小安全變更的過程。 因為當弱點落在直接依賴、間接依賴、嚴格版本宣告或多年未維護的套件上,後續選擇會完全不同。這篇文章我會把自己碰過與整理過的情境拆成案例,讓每一個決策都能看見前因後果。
