本文介绍了如何确保软件项目的依赖项是安全的,以防止恶意库的入侵。通过Audit工具进行依赖审计,可以发现潜在的安全风险,提供解决方案。在生产环境中,可以使用特定命令自动修复或手动更新风险依赖。此外,利用CI(持续集成)机器人,如Synk,可以实现自动化检测和修复,并与CICD集成。在GitHub等平台,还可以配置机器人定期检查并提交修复问题的PR。
如何确保所有 npm install 的依赖都是安全的?
当有一个库偷偷在你的笔记本后台挖矿怎么办?
比如,不久前一个周下载量超过八百万的库被侵入,它在你的笔记本运行时会偷偷挖矿。
Audit
Audit,审计,检测你的所有依赖是否安全。npm audit/yarn audit 均有效。
通过审计,可看出有风险的 package、依赖库的依赖链、风险原因及其解决方案。
$ npm audit
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Regular Expression Denial of Service in trim │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ trim │
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
