Resolve Dependabot alerts: update js-yaml and remove tmp vulnerability

[Copilot]

Three Dependabot security alerts flagged vulnerable transitive dependencies in the development dependency tree.

Changes

Updated pnpm-lock.yaml via pnpm install:

• js-yaml: 3.14.1 → 3.14.2 (fixes prototype pollution via merge operator)
• js-yaml: 4.1.0 → 4.1.1 (fixes prototype pollution via merge operator)
• tmp: 0.0.33 removed from dependency tree (fixes symbolic link arbitrary write vulnerability)

All vulnerable versions are transitive dev dependencies from Jest's Istanbul code coverage tooling. The lockfile update resolves to patched versions without requiring direct dependency changes.

Original prompt

以下の dependabot alerts を解消してください

js-yaml has prototype pollution in merge (<<) Moderate Development
#8 opened 2 months ago • Detected in js-yaml (npm) • pnpm-lock.yaml

js-yaml has prototype pollution in merge (<<) Moderate Development
#7 opened 2 months ago • Detected in js-yaml (npm) • pnpm-lock.yaml

tmp allows arbitrary temporary file / directory write via symbolic link dir parameter Low Development
#5 opened 5 months ago • Detected in tmp (npm) • pnpm-lock.yaml

---

💡 You can make Copilot smarter by setting up custom instructions, customizing its development environment and configuring Model Context Protocol (MCP) servers. Learn more Copilot coding agent tips in the docs.

[uneco]

@copilot tmp は消してもライブラリの挙動に問題はないの？

[Copilot]

@copilot tmp は消してもライブラリの挙動に問題はないの？

問題ありません。tmp パッケージは直接使用されていない依存関係で、@changesets/cli が使用する external-editor パッケージが更新されたことで自然に削除されました。

古い構造: @changesets/cli → external-editor@3.1.0 → tmp@0.0.33
新しい構造: @changesets/cli → @inquirer/external-editor@1.0.3 (tmpは不要)

新しいバージョンの @inquirer/external-editor は一時ファイルの処理を再設計し、tmp パッケージに依存しなくなりました。すべてのテストとビルドが正常に動作することを確認済みです。