node依赖安全扫描工具

最新推荐文章于 2024-06-26 09:08:41 发布
最新推荐文章于 2024-06-26 09:08:41 发布
阅读量1.5k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chris_linchen/article/details/82685164
版权

企业级node安全保障

第三方依赖的安全隐患

安全现状

  • 去年11月, snyk公司发布《2017开源软件安全报告》, 其中扫描了43万个站点, 发现77%的站点包含到至少1个以上已知漏洞.
  • OWASP把”Using Components with Known Vulnerabilities”列为十大安全威胁之一.

为什么需要漏洞扫描工具

几乎每个项目都会引用许多第三广告的包, 有人统计一个项目大约80%的代码来自于第三方依赖, 自己写的代码不足20%. 我们用尽全力保证我们20%的代码质量, 却很可能不知不觉间被80%的第三方代码中的漏洞坑害. 同时npm仓库里的包质量良莠不齐, 如果你有在npm官方仓库中提交过自己的作品,你会发现npm不会做任何质量检查, 只要你的包名没有重复, 你就可以提交, npm包虽然众多,但质量参差不齐, 甚至还有一些钓鱼的包. 我们不可能手动检查所有依赖包的安全漏洞,必须借助一些自动化工具.

自动化工具

目前已知的这类自动化工具主要有:nsp (node security platform), npm audit fix, snyk, retire, greenkeeper, OWASP Dependency Check.本文主要介绍nsp及npm收购后做的整合, 和一个商用扫描工具snyk. 并对它们做一个简单的对比. 最后简单介绍了一下retire, greenkeeper, OWASP Dependency Check.

自动化工具
自动化工具

nsp

nsp是一个叫^Lift公司的产品.安装和使用方法都很简单.

安装: :B_exampleblock:

1  npm i -g nsp

使用方法:

1  nsp check

20180810_134122_4932a3P.png

上图是nsp check当前项目时报告的结果, 该项目的第三方依赖含有2个已知漏洞, 下面的表格详细描述了其中一个漏洞的详情.下文中我们会详细说

最低0.47元/天 解锁文章
chris_linchen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
开源漏洞扫描工具(OWASP-Dependency-Check)探索
chihujiang3132的博客
01-31 4276
背景 随着公司逐渐发展壮大,网络信息安全变得越来越重要。由此激发了我们成立兴趣小组(凯京爆破小组)研究网络信息安全的欲望。然而信息安全的防范,还得从底层编码开始做起。这样依赖扫描工具(OWASP-Dependency-Check)就进入了我们的视线,既符合我们当前的需求又使用方便简单,自然而...
web安全扫描工具Goby
03-31
【Goby:网络资产安全扫描工具】 Goby是一款专为Web安全设计的高效扫描工具,它的主要功能是帮助用户对自身的网络资产进行详尽的安全检查。通过自动化扫描,Goby能够发现潜在的安全漏洞,从而提高网络环境的安全性...
DependencyCheck:OWASP依赖项检查是一种软件组成分析实用程序,它可以检测应用程序依赖项中公开披露的漏洞
02-05
依赖检查 依赖项检查是一种软件组成分析(SCA)工具,它试图检测项目依赖项中包含的公开披露的漏洞。 它通过确定给定依赖项是否存在通用平台枚举(CPE)标识符来完成此操作。 如果找到,它将生成一个报告,链接到相关的CVE条目。 可以在上找到文档和生产二进制发行版的。 另外,可以在上找到有关体系结构和扩展依赖项检查的方法的更多信息。 6.0.0升级通知 如果升级到6.0.0或更高版本,则会发生重大更改。 如果收到指示无法连接数据库的错误,则需要运行purge命令来删除旧数据库: gradle: ./gradlew dependencyCheckPurge maven: mvn org.owa
安全厂商 | Snyk:一家专注于应用安全的独角兽企业,2024年市值竟跌了近50%!
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-22 1471
Snyk是一家总部位于英国伦敦专注于开源治理安全公司,提供开源软件漏洞检测和修复服务。Snyk由以色列人Assaf Hefetz、Danny Grander和Guy Podjarny于2015年创立。公开披露的信息展示,2022年 12月 13日,Synk在G轮融资中以74亿美元的估值融资了1.96亿美元。2023年4月18日,Snyk以510亿人民币的企业估值入选《2023·胡润全球独角兽榜》,排名第99位。
Node Security
weixin_30549657的博客
11-11 129
发一个很早之前做的一个小东西-安全管理软件-可以对U盘进行管理,对后台程序进行扫描、分析! 转载于:https://www.cnblogs.com/itrena/p/5938421.html...
警惕 Python 中少为人知的十个安全陷阱(1)
最新发布
dzqxwzoe的博客
06-26 637
!!!!!
node-wifi::antenna_bars:NodeJS工具来管理wifi(连接,扫描
05-02
我对这个项目抱有很大的野心,我正在寻找可以帮助我处理该项目的所有改进和错误修复的维护人员,因为硬件/操作系统依赖性使其很难进行测试。 您可以通过与我联系。 node-wifi模块允许macOS,Windows和Linux用户通过...
nodejs写的一个简单项目打包工具
12-04
本篇文章将深入探讨如何使用Node.js编写一个简单的项目打包工具,该工具能够扫描并合并JavaScript模块,同时还可以进行代码压缩。 首先,我们要理解描述中提到的模块加载方式。`XX.define`方法是一种常见的模块定义...
Node.js-npmarket更有效地搜索得node
08-10
5. **安全检测**:考虑到安全因素,`npmarket` 可能内置了安全扫描功能,能够检查并警告用户潜在的安全风险,比如已知漏洞或不安全依赖。 6. **命令行接口**:作为 CLI 工具,`npmarket` 应该提供了一系列的...
一个帮助避免向github和npm发布安全相关的工具
08-07
标题中的“一个帮助避免向github和npm发布安全相关的工具”指的是一个专门用于检查并防止将敏感或安全相关的信息意外发布到GitHub和npm(Node.js的包管理器)的工具。这个工具可能是为了确保开发者在公开代码时不会...
dependency-check-gradle:依赖项检查gradle插件使项目可以监视依赖库中的已知已发布漏洞
04-30
依赖检查等级 依赖项检查gradle插件允许项目监视从属库是否存在已知的已发布漏洞。 当前的版本 最新版本是 用法 以下是快速入门说明。 请参阅以获取有关配置和用法的更多详细信息。 第1步,应用依赖项检查Gradle插件 从Maven中央仓库安装 buildscript { repositories { mavenCentral() } dependencies { classpath ' org.owasp:dependency-check-gradle:6.1.5 ' } } apply plugin : ' org.owasp.dependencycheck ' 步骤2,运行gradle任务 一旦应用gradle插件,请运行以下gradle任务来检查依赖关系: gradle dependencyCheckAnalyz
webpack-nodesecurity-plugin:使用Webpack在package.json文件上运行节点安全性检查
02-03
Webpack节点安全性插件 在pack.json,package-lock.json或npm-shrinkwrap.json上运行Node Security Platform审核的Webpack插件。 注意:Webpack插件是软件包的包装。 安装 npm install --save-dev webpack-nodesecurity-plugin 用法 在您的webpack.config.js var NodeSecurityPlugin = require ( 'webpack-nodesecurity-plugin' ) ; module . exports = { //
自动依赖扫描-demo
爱测未来团队博客
11-14 918
如何有效管理应用程序使用到的第三方依赖,一篇文章帮你搞定!
OWASP Dependency-Check对服务做个检查
小康的博客
06-29 293
OWASP Dependency-Check对服务做个检查 参考链接1 参考链接2 简介 Dependency-Check是OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。
Dependencycheck开源项目运行以及逻辑提取
ZZZZZxxxxy的博客
02-27 177
antv-g6构建依赖
org.sonarsource.php,声纳扫描器设置为多模块项目的单独依赖检查报告
weixin_31614747的博客
03-11 369
我有多模块项目设置 . 由于我的项目没有设置Jenkins / Maven,我使用CLI分别获取每个模块的依赖关系报告,并将它们复制到根据其模块命名的根项目文件夹例如:D: MyProject--module1--src--module2--src--dependency-check-module1-report--dependency-check-report (XML)--dependency...
Centos7安装DependencyCheck
糖糖的小窝
04-14 683
安装java 查看yum源的java包 yum list java* 安装java1.8jdk软件 yum -y install java-1.8.0-openjdk 查看版本,检测是否安装成功 java -version 安装 maven 下载maven yum -y install wget wget https://mirrors.tuna.tsinghua.edu.cn/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.t
NodeJS】3 种确保开源Node.js依赖安全的方法
前端进阶之路 | 中大厂、外企、国企内推 | 面试培训 | 简历修改
05-09 637
随着Node.js应用程序的规模和特性的扩展,它们的依赖关系也会扩展。为了让Node.js应用程序能够正常运行,你还需要测试框架、UI框架、数据库客户端、像Express这样的MVC库等等。 然而,**黑客们正越来越多地瞄准这类依赖关系,发起链式攻击,将恶意代码注入第三方软件。**研究人员还发现,配置不良的构建过程使应用程序更容易受到这类攻击。 在这篇文章中,我们将回顾三种工具,它们是最近开源的,用于提高Node.js依赖安全性,包括Socket、Node-Secure CLI和N|Solid。让我们开始

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值