标签: node.js npm node-modules npm-audit
在安装之前,如何对单个 npm软件包进行CLI安全检查?
当前最流行的从CLI对npm模块运行安全检查的方法是内置的npm工具npm audit。但是目前,这需要package-lock.json存在,这意味着必须已安装软件包。
npm audit
package-lock.json
这不是理想的选择,因为如果该程序包存在漏洞,则必须安装该程序以查找其是否有破坏目的的漏洞。它还可以在所有已安装的模块上运行,这些模块不允许定位一个模块。