具体来说:检查所有依赖项的最佳方法是什么,包括使用节点时在dependencies中声明的peerDependencies,devDependencies和package.json中列出的软件包的嵌套依赖项。 JS?
https://www.google.com/search?q=npm+check+dependencies+security的结果到目前为止看起来并不令人满意。
答案 0 :(得分:2)
您可以尝试Snyk
Snyk可以帮助您查找,修复和监控Node.js npm,Ruby和Java依赖项中的已知漏洞,这些漏洞都是临时的,并且是CI(Build)系统的一部分。
答案 1 :(得分:1)
最近npm audit was introduced。我在2-3年前对snyk进行了测试,对于目前的状态,不能有任何正面或负面的影响。还有其他工具,以及找出易受攻击的软件包的方法。我建议观看Jarrod Overson的演讲“ Analysis of an Exploited NPM Package”。有用的目的在于了解总是有方法可以利用软件包存储库,尤其是充分利用开源的:)