检查npm依赖项是否存在安全问题的最佳方法是什么?

时间:2018-06-11 19:52:42

标签: node.js security npm npm-install node-modules

具体来说:检查所有依赖项的最佳方法是什么,包括使用节点时在dependencies中声明的peerDependenciesdevDependenciespackage.json中列出的软件包的嵌套依赖项。 JS?

https://www.google.com/search?q=npm+check+dependencies+security的结果到目前为止看起来并不令人满意。

2 个答案:

答案 0 :(得分:2)

您可以尝试Snyk

  

Snyk可以帮助您查找,修复和监控Node.js npm,Ruby和Java依赖项中的已知漏洞,这些漏洞都是临时的,并且是CI(Build)系统的一部分。

答案 1 :(得分:1)

最近npm audit was introduced。我在2-3年前对snyk进行了测试,对于目前的状态,不能有任何正面或负面的影响。还有其他工具,以及找出易受攻击的软件包的方法。我建议观看Jarrod Overson的演讲“ Analysis of an Exploited NPM Package”。有用的目的在于了解总是有方法可以利用软件包存储库,尤其是充分利用开源的:)