Node.js代码漏洞扫描工具介绍——npm audit

已于 2023-10-08 17:10:36 修改
阅读量1.8k 收藏 6
点赞数 2
文章标签: node.js npm 前端
于 2023-10-08 15:03:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/killer1989/article/details/133681209
版权

npm audit

运行安全检查

主要作用:检查命令将项目中配置的依赖项的描述提交到默认注册中心,并要求报告已知漏洞。如果发现任何漏洞,则将计算影响和适当的补救措施。如果 fix 提供了参数,则将对包树应用补救措施。
具体参考:https://www.npmrc.cn/quick-start/about-npm.html

这里主要介绍如何使用漏洞扫描的功能

关于前置环境治理

事实上,很多的网上的解决方案都是直接运行npm audit命令,这个在研发的角度是没有问题的
但从研发效能的角度来看,还需要一些环境治理的工作:
比如说:我们在构建流水线的时候,需要拉取最新的代码
但拉取的代码中,除了业务代码外,还需要一些依赖包
在Node.js中,有三个重要的文件:node_modulespackage.jsonpackage-lock.json

node_modules :node_modules 文件夹中存放许多的模块文件及插件,node_modules是安装node后用来存放用包管理工具下载安装的包的文件夹。比如webpack、gulp、grunt这些工具。在node.js中模块与文件是一一对应的,也就是说一个node.js文件就是一个模块。

package.json:概念:package.json就是管理你本地安装的npm包,用于定义了这个项目所需要的各种模块,以及项目的配置信息(比如名称、版本、许可证等元数据)。”

使用场景:在拷贝项目时不需要拷贝node_modules文件夹,如果拷贝的话会很慢,所以需要用package.json来记录依赖版本号,可以解决安装的依赖与原项目依赖及版本保持一致的问题

package-lock.json:记录模块与模块之间的依赖关系,锁定包的版本,记录项目所依赖第三方包的树状结构和包的下载地址,加快重新安装的下载速度

具体可以参考:https://blog.csdn.net/weixin_48986139/article/details/124019530

在每一次代码拉取的过程中,研发同学基于多重开发的考虑,可能不会把本地的依赖包精确按时的上传到代码仓库,所以,在建立流水线的过程中,需要首选更新依赖包和模块与模块的依赖关系,再进行代码扫描:

rm -rf ./node_modules ./package-lock.json
npm cache clean --force
tnpm cache clean --force // 如果有内部npm包地址,则需要执行这一步
npm install --legacy-peer-deps && npx npm-force-resolutions
tnpm install --legacy-peer-deps && npx npm-force-resolutions // 如果有内部npm包地址,则需要执行这一步
npm install

其中如果没有tnpm,则需要把对应的包放入node_modules文件夹

关于npm audit使用

这个时候,依赖包基本上已经安装完毕了,然后即可运行npm audit

在这里插入图片描述
但这里,其实还有很多参数可以选:

比如:只关心中等以上漏洞:则可以添加:

npm audit --audit-level=moderate

希望以json格式输出:

npm audit --json

希望以html格式输出:

npm i -g npm-audit-html 
npm audit --json | npm-audit-html

这里其实又个坑,上面的html这里方法,很多地方都有,但很可能使用之后html长这样:
在这里插入图片描述
table是空的:
这里的原因是:
在这里插入图片描述
所以要改成:

npm i -g npm-audit-html@beta
npm audit --json | npm-audit-html@beta --output report.html

关于漏洞修复

扫描您的项目中的漏洞,并自动为有漏洞的依赖项安装任何兼容更新:

npm audit fix

在不修改节点模块的情况下运行 audit fix,但仍然更新 pkglock:

npm audit fix --package-lock-only

跳过 devDependencies 更新:

npm audit fix --only=prod

使用 audit fix 安装 SemVer-major 更新到顶级依赖项,而不仅仅是只引入 SemVer-compatible :

npm audit fix --force

进行试运行以了解 audit fix 将要做什么,并以 JSON 格式输出安装信息:

npm audit fix --dry-run --json

这里是一个npm audit fix的经典例子:
https://www.jianshu.com/p/60591cfc6952

killer1989
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
解决webpack或vite项目无效依赖以及子孙依赖安全漏洞升级与兼容性问题的方法
不怕麻烦的鹿丸的博客
01-26 1307
一旦执行升级操作,因为会忽略各依赖间的联系性并统一升级到最新版本,所以可能会出现升级失败的情况,此时会询问用户是否确定并加上 --force 强制升级,如果你仍然想升级,直接输入强制升级即可。根据组件库无风险版本,在 package-lock.json 文件中指定间接依赖的大版本或具体版本号,使用npm update 升级指定依赖。安装时忽略所有peerDependencies,忽视依赖冲突,采用npm版本4到版本6的样式去安装依赖,已有的依赖不会覆盖。
v12.14.0版本的node.js 6.13.4版本的npm
01-30
Node.jsnpm是JavaScript开发中的两个关键工具,它们在构建可扩展的网络应用和服务中扮演着重要角色。本文将深入探讨v12.14.0版本的Node.js和6.13.4版本的npm,以及它们在开发环境中的应用。 首先,Node.js是一个...
探索Web安全新维度:JSScanner — 深入检测JavaScript文件的利器
gitblog_00091的博客
05-25 417
探索Web安全新维度:JSScanner — 深入检测JavaScript文件的利器 项目地址:https://gitcode.com/dark-warlord14/JSScanner 1、项目介绍 在今天的数字化世界中,网络安全是每个网站和应用的生命线。而JavaScript作为前端开发的核心语言,其安全性往往被忽视,成为潜在的攻击入口。JSScanner是一个精心设计的开源工具,专门用于扫描J...
保护你的代码堡垒:精通npm audit命令
2402_85758936的博客
06-26 412
npm audit是一个强大的工具,它为我们的Node.js项目提供了必要的安全保障。通过定期运行安全审计并及时修复发现的漏洞,我们可以显著提高应用程序的安全性。记住,安全是一个持续的过程,不断更新和维护你的依赖是保证项目安全的关键。通过本文的学习,你应该已经掌握了如何使用npm audit命令来检查和修复项目中的安全漏洞。现在,就让我们开始行动,为我们的代码堡垒筑起一道坚不可摧的安全防线吧!
修改依赖包下的子依赖版本,前端项目安全扫描出来的漏洞——解决过程
为写出赏心悦目、容易维护的代码而探索
06-12 4917
然后我去网上找webpack3升级5的文章,跟着文章一步一步操作看行不行,坑太多了,这项目是很多年前的项目,很多配置都没注释,跟着网上的文章项目运行不起来,不知道哪里出了问题,这样下去时间成本太高,我决定要使用之前被我否定的强行修改子依赖的方案,兜兜转转还是得这招,虽然最后会留下7-8个必须要升级大依赖版本才能解决的漏洞,但这已经达到我们项目组的预期了。每次我们都是直接忽略,实际这些组件漏洞大部分都是——可能会导致项目被攻击后运行缓慢这种无关紧要的‘假漏洞’,存在矫枉过正的意思。
NPM黑带指南:从菜鸟到高手的飞跃,主宰Node.js生态的终极秘籍!(二)
Geek_H
04-29 507
深入浅出解析NPM工作原理,掌握版本控制与依赖管理的精髓,让你的项目如虎添翼。无论是新手巫师还是资深大法师,这里都有你不可不知的NPM密令!
推荐项目:AuditJS —— 您的JavaScript项目安全守护者
gitblog_00042的博客
06-07 270
推荐项目:AuditJS —— 您的JavaScript项目安全守护者 项目地址:https://gitcode.com/sonatype-nexus-community/auditjs 在快速迭代的软件开发世界里,确保依赖包的安全性变得日益重要。今天,我们要向大家隆重推荐一款强大的开源工具——AuditJS。它像一位细心的守卫,利用Sonatype的OSS Index服务,帮助开发者识别并管理J...
代码分析工具
SHELLCODE_8BIT的博客
09-27 3049
工具目前支持 Java、.Net、Go、Python、Ruby、JS(Node、Angular、JQuery 等)、PHP、Perl、COBOL、APEX 等等。Apex、C/C++、C#、CUDA、Java#、JavaScript、PHP、Python、.NET Core、ASP.NET、Objective-C、Go、JSP、Ruby、Swift、Fortran、Scala、VB.NET、iOS、Android , 打字稿, Kotlin。使用图形、文档和指标提供静态代码分析的 IDE。
探秘强大的安全审计工具audit-ci
gitblog_00100的博客
05-26 235
探秘强大的安全审计工具audit-ci 项目地址:https://gitcode.com/IBM/audit-ci 在软件开发过程中,确保代码的安全性是至关重要的一步。为此,我们向您推荐一款开源神器——audit-ci,这是一个用于持续集成的NPM包审计工具,旨在阻止在指定阈值以上存在漏洞的构建执行。 项目简介 audit-ci 是一个轻量级的解决方案,它可以与您的喜爱的CI工具(如GitHub...
前端安全—你必须要注意的依赖安全漏洞
azl397985856的专栏
02-10 614
这是ConardLi的第 72 篇原创,谢谢你的支持!从一个安全漏洞说起 Lodash 是一款非常流行的 npm 库,每月的下载量超过 8000 万次,GitHub 上使用它的项目有超...
node.js12.22.12+npm6.14.4
07-29
Node.js 是一个开源、跨平台的 JavaScript 运行环境,它允许开发者在服务器端执行 JavaScript 代码Node.js 使用 V8 引擎,这个由 Google 开发的高性能 JavaScript 引擎为 Node.js 提供了强大的动力。版本 12.22.12...
node.jsnpm包管理工具用法分析
10-15
Node.js是基于Chrome V8引擎的JavaScript运行环境,它提供了丰富的生态系统,其中npm(Node Package Manager)是其官方的包管理器,用于管理和分发Node.js模块。npm不仅简化了安装、更新和卸载第三方模块的过程,还...
Node.js官方工具14.17.3版本windows系统x64安装包
07-21
Node.js是一种开源、跨平台的JavaScript运行环境,它允许开发者在服务器端运行JavaScript代码,极大地扩展了JavaScript的应用领域。Node.js基于Chrome V8引擎,因此它具有高性能和高效的特性。标题提到的是Node.js的...
node.js(v16.16.0) 安装包
03-29
Node.js 是一个开源、跨平台的 JavaScript 运行环境,它让开发者可以在服务器端执行 JavaScript 代码Node.js 使用了 Google V8 引擎,这个引擎是为 Chrome 浏览器设计的,因此 Node.js 具有高性能和高效性的特点。...
新电脑如何设置 npm 源及查看源、安装 cnpm、pnpm 和 yarn 的详细教程
最新发布
一勺菠萝丶的博客
07-24 684
当你获得一台新电脑,或需要在现有电脑上优化 JavaScript 和 Node.js 的开发环境时,正确配置 npm 是一步不可少的过程。本教程将详细指导你如何设置 npm 源,查看当前源,以及如何安装 cnpm、pnpm 和 yarn。
docker centos镜像 npm安装包时报错“npm ERR! code ECONNRESET”
sz76211822的专栏
07-24 277
代码】docker centos镜像 npm安装包时报错“npm ERR!
npm安装node.js
02-22
npmNode.js的包管理器,用于安装、管理和发布Node.js模块。要安装Node.js,可以按照以下步骤进行: 1. 首先,访问Node.js官方网站(https://nodejs.org/),并下载适合您操作系统的安装包。 2. 下载完成后,运行安装包进行安装。根据操作系统的不同,可能需要选择一些选项,如安装路径等。 3. 安装完成后,打开命令行终端(Windows用户可以使用命令提示符或PowerShell,Mac和Linux用户可以使用终端)。 4. 在命令行中输入以下命令来验证Node.js是否成功安装: ``` node -v ``` 如果成功安装,将显示Node.js的版本号。 5. 接下来,您可以使用npm来安装其他Node.js模块。在命令行中输入以下命令来验证npm是否成功安装: ``` npm -v ``` 如果成功安装,将显示npm的版本号。 现在您已经成功安装了Node.jsnpm,可以使用npm来安装各种Node.js模块和工具
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值