【问题标题】:What is the best way to check npm dependencies for security issues?检查 npm 依赖项是否存在安全问题的最佳方法是什么?
【发布时间】:2018-06-11 19:52:41
【问题描述】:

具体来说:使用 node.js 时,检查所有依赖项的最佳方法是什么,包括在 package.json 中声明的 dependenciespeerDependenciesdevDependencies 中列出的包的嵌套依赖项?

https://www.google.com/search?q=npm+check+dependencies+security 的结果目前看起来并不令人满意。

【问题讨论】:

  • npm install 命令有时会告诉我先执行npm i npm@latest -g,然后执行npm audit,这似乎可以解决问题。在将其发布为答案之前,我想将这个问题留给更多经验丰富的 NPM 专家。

标签: node.js security npm npm-install node-modules


【解决方案1】:

你可以试试Snyk

Snyk 可帮助您查找、修复和监控 Node.js npm、Ruby 和 Java 依赖项中的已知漏洞,无论是在临时基础上还是作为 CI(构建)系统的一部分。

【讨论】:

  • 谢谢@alejandro-estrada 我刚刚赞成你的回答。我可能想检查 Snyk 和 npm 审计的结果。
【解决方案2】:

最近是npm audit was introduced。我在 2-3 年前测试过 snyk,对当前状态没有任何积极或消极的影响。还有其他工具,以及找出易受攻击的软件包的方法。我建议观看 Jarrod Overson 的演讲“Analysis of an Exploited NPM Package”。有助于理解总有办法利用包存储库,尤其是完全开源的:)

【讨论】:

    猜你喜欢
    • 2011-05-25
    • 2012-08-29
    • 2011-03-20
    • 2011-12-25
    • 2010-10-29
    • 1970-01-01
    • 2012-04-02
    • 2010-09-18
    相关资源
    最近更新 更多