ベータ Shoulder はベータ版です — 結果が誤っている場合があります。皆さまのフィードバックが次に修正する内容を決定します。 フィードバックを送る
Shoulder.dev

開発者向け脅威インテリジェンス
📦

Use of Unmaintained Third Party Components

🛡️ 5 件のルールが検出します

Use of Unmaintained Third Party Components

The product relies on third-party components that are no longer being maintained by the original developer or by the open source community.

Without ongoing maintenance, newly discovered vulnerabilities in these components will not be patched. This creates an increasing risk as time passes and vulnerabilities are discovered.

普及度
2 言語をカバー
影響度
ミディアム
レビュー推奨
予防
文書化済み
5 件の修正例
2 予防
2 予防

この脆弱性の修正方法

5 件の Shoulder 検出ルールに基づく Use of Unmaintained Third Party の予防策。

🐳 Docker すべて表示 Docker 詳細 →
Docker Base Image Security MEDIUM

Pin base images to specific version tags or SHA digests for reproducible builds

+5 -4 dockerfile 
- FROM node:latest
- WORKDIR /app
- COPY . .
- RUN npm install
+ FROM node:24-alpine
+ WORKDIR /app
+ COPY package*.json ./
+ RUN npm ci
+ COPY . .
Use npm ci for Reproducible Builds LOW

Use npm ci instead of npm install for deterministic, reproducible Docker builds

+1 -1 dockerfile 
  FROM node:24-alpine
  WORKDIR /app
  COPY package*.json ./
- RUN npm install
+ RUN npm ci --omit=dev
  COPY . .
Dockerfile Uses Outdated Node.js Version MEDIUM

Update FROM to a supported Node.js LTS version (24-alpine or 22-alpine)

+1 -1 dockerfile 
- FROM node:16-alpine
+ FROM node:24-alpine
  WORKDIR /app
  COPY . .
  RUN npm ci
🟨 JavaScript すべて表示 JavaScript 詳細 →
.nvmrc Specifies Outdated Node.js Version MEDIUM

Update .nvmrc to a supported Node.js LTS version (22 or 20)

+1 -1 javascript 
- 16
+ 22
Node.js Version Mismatch Between Configuration Files MEDIUM

Align Node.js versions across .nvmrc, Dockerfile, and package.json to the same LTS version

+6 -5 javascript 
- # .nvmrc says 18, Dockerfile says 22
- # .nvmrc
- 18
- # Dockerfile
- FROM node:22-alpine
+ # .nvmrc
+ 22
+ # Dockerfile
+ FROM node:22-alpine
+ # package.json engines
+ { "engines": { "node": ">=22.0.0" } }
3 検出
3 検出

コードの脆弱性を見つける

Shoulderを使用してコードのUse of Unmaintained Third Party Componentsパターンをスキャンしましょう。 5 ルール.

ターミナル
# Scan with Shoulder CLI
npx @shoulderdev/cli trust --cwe=1104

# Or scan entire project
npx @shoulderdev/cli trust .

検出ルール (5)

4 警告サイン
4 警告サイン

コードレビューで注目すべき点

これらのパターンはUse of Unmaintained Third Party Componentsの潜在的な脆弱性を示しています。コードレビューとセキュリティ監査中に探してください。

🟡
Dockerfile uses ...: ... docker-base-image-security
🟡
base images using "latest" tag or missing version tags docker-base-image-security
🟡
Dockerfile uses ... which is end-of-life or outdated. IMPORTANT: Update to node:24-alpine (Active LTS) or node:22-alpine docker-outdated-node-version
🟡
Dockerfiles using outdated or end-of-life Node docker-outdated-node-version
🟡
.nvmrc specifies ... nodejs-outdated-nvmrc-version
🟡
Node.js versions are inconsistent across configuration files. Check the docker-image-outdated finding for the latest rec nodejs-version-mismatch
🟡
inconsistent Node nodejs-version-mismatch
🔵
Dockerfile uses 'npm install' - consider 'npm ci' for reproducible builds. docker-nodejs-npm-ci
🔍

コードベースをスキャン: Use of Unmaintained Third Party Components

Shoulder CLI はコードベース全体から脆弱なパターンを見つけます。

npx shoulder trust すべてのルールを表示