我正在测试与Artifactory结合使用的JFrog Xray,并已部署了一个nodejs npm项目作为Artifactory的构建,然后由Xray对其进行了扫描。 (使用this guide)
在package.json中,我包含了一个我知道有漏洞的依赖项(虚线4.17.10)。当我在Xray中查看项目时,状态为“已扫描-没有问题”。 我也希望看到Xray的项目依赖关系,但我看不到任何这些依赖关系。
我应该能够看到npm构建的依赖关系吗?由于该项目依赖于易受攻击的软件包,因此我认为Xray表示没有问题很奇怪。
答案 0 :(得分:1)
当您通过Npm客户端运行Npm install命令时,它将解析来自Artifactory Npm Repo的package.json依赖项,这些已解析的依赖项将是 如果已将Npm仓库标记为要索引(扫描),则Xray会自动对其进行扫描。
请添加有关您如何部署项目和解决项目依赖性的更多详细信息。