我正在使用nsp来扫描漏洞。我看到一种奇怪的行为。
在脚本中,依赖项,devDependency部分我有以下内容
{
"scripts": {
"security-scan:nsp": "nsp check --threshold 10 --reporter json"
},
"dependencies": {
"joi": "10.x",
"dotenv": "4.0.0",
"nsp": "3.2.1"
},
"devDependencies": {
"lab": "14.x",
"code": "4.x",
"eslint": "4.1.1",
"eslint-plugin-import": "2.7.0"
}
}
如果我运行 npm运行security-scan:nsp 我遇到了一些漏洞但现在如果我将nsp从依赖项移到devDependency并运行 npm运行security-scan:nsp 我没有任何漏洞。任何人都可以帮助我。
答案 0 :(得分:0)
Nsp没有扫描Dev依赖项。新的npm audit命令执行并且它使用相同的漏洞数据库,但没有nsp的任何格式化选项。