在评估软件包的漏洞时,npms内部npm audit命令是否使用OWASP安全标准?
是否有关于npm软件包如何审核的背景信息?
答案 0 :(得分:1)
Here是npm博客中描述npm audit命令的帖子。我找不到描述npm如何审核程序包的有效资源,但我认为它可能与Node Security Platform有关。
答案 1 :(得分:1)
OWASP安全标准只是针对Web应用程序的标准安全检查的汇编。
实际上,npm audit命令检查过时的依存关系或已知问题。该命令无法即时完成审核。安全性问题来自多个来源,例如Node.js security team或Ubuntu security notices,或者来自you之类的用户。
根据npm提供的信息,实际上很难判断负责评估软件包漏洞的npm security team是否遵循OWASP组织有关安全性的所有建议,但是我敢肯定其中很大一部分留在他们的安全专家心中。
请注意,NPM还依靠Google云安全扫描程序和AWS Penetration测试平台来评估软件包中的安全问题。