git clone 후 npm i 시 보안 취약점 발생 → npm audit fix --force 로 해결했는데 이렇게 사용해도 되나요?

Question

안녕하세요, 짐코딩님! 강의 잘 듣고 있습니다 😊 89강에서 제가 만든 스타터킷이 아닌, 강사님 소스코드를 git clone한 후 npm i 를 실행했는데, 아래와 같은 결과가 나왔습니다. 발생한 상황: npm warn deprecated node-domexception@1.0.0: Use your platform's native DOMException instead added 691 packages, and audited 692 packages in 8s 10 vulnerabilities (1 low, 4 moderate, 4 high, 1 critical) critical을 포함한 보안 취약점 10개가 발견되어서, 아래 명령어로 강제 수정을 시도했습니다. npm audit fix --force 결과: npm warn audit Updating next to 15.5.12, which is outside your stated dependency range. changed 3 packages, and audited 698 packages in 4s found 0 vulnerabilities Next.js가 15.5.12로 업데이트되면서 취약점은 모두 해결됐습니다. 질문 드리고 싶은 점: npm audit fix --force 로 Next.js 버전이 강의 소스코드와 달라졌는데, 이렇게 만들어둔 스타터킷 사용 시 구버전 이슈가 나타나면 이렇게 수정해서 사용하면 되는것이 맞나요? git clone한 강사님 소스코드에서 이런 취약점이 발생하는 게 정상인가요, 아니면 제 환경 문제일까요? 비개발자로서 강의를 따라가고 있어서 이런 부분이 헷갈립니다. 답변 주시면 감사하겠습니다!

짐코딩 · Answer

안녕하세요! 질문 주셔서 감사해요 😊 두 질문 모두 한 번에 답변드릴게요. 결론부터 말씀드리면, 제가 공유한 소스코드는 "참고용" 이에요. 강의에서 제가 공유한 소스는 수업 중에 만든 CLAUDE.md, 서브에이전트, 커스텀 커맨드 같은 설정들을 참고하라고 올려둔 거예요. 최신 상태로 지속적으로 관리하는 소스가 아니다 보니 npm 취약점이 발생하는 건 자연스러운 일이에요. 제 환경 문제도 아니고, 뭔가 잘못하신 것도 아니에요 😊 이 강의의 핵심은 이거예요. 클로드 코드 스펙을 익히고 → 본인만의 스타터킷을 직접 만들어서 → 그걸 개발 워크플로우에 녹여내는 것 제 소스를 그대로 쓰는 게 목적이 아니라, 제 소스를 참고해서 본인 상황에 맞는 스타터킷을 직접 만드는 게 목표예요. 강의를 따라서 본인의 스타터킷을 직접 만드시면 Next.js 현재에 맞는 최신 버전으로 만들어 질테고 이러한 보안 이슈도 해결되어 있는 소스로 시작하실 수 있어요 그러니 지금 당장 npm audit fix --force 로 버전 맞추는 것보다, 제 소스는 참고만 하셔서 본인의 스타터킷 을 기반으로 진행하시는 걸 강력 추천드려요! 그게 이 강의를 제대로 활용하는 방법이에요 🙂