如何檢查npm包的安全漏洞

2022-03-29 16:43:20 字數 1209 閱讀 1441

npm包的安全漏洞等級

檢查漏洞

修復漏洞

提交漏洞報告

npm包的數量非常巨大,因為開發者的水平差異,難免存在大大小小的安全漏洞。

作為開發者,定期檢查專案依賴包中存在的安全漏洞並及時公升級修復版依賴是非常必要的。

漏洞嚴重性從高到底排序:

critical(危急) 需要立即修復

high(高) 盡可能快地修復

moderate(適中) 時間允許就修復

low(低) 隨你自己什麼時候修復

在包裡執行如下的命令可以檢查漏洞。

#!/usr/bin/env

bash

npm audit

示例:[email protected]存在xss漏洞,下面我們用這個例子來體驗一下npm audit命令。

#!/usr/bin/env

bash

# 建立並進入資料夾

mkdir learn_npm &&cd learn_npm

# 新建package.json

npm init --yes

# 安裝1.

12.4版本的jquery

npm

install [email protected]

# 審計

npm audit

修復漏洞的方法就是公升級依賴版本。根據新版本是否向後相容,分為兩種方式:

#!/usr/bin/env

bash

npm audit fix

如果依賴開發者已經不願維護舊版本,但在不向後相容的新版本中修復了漏洞,此時我們也可以選擇公升級。

注意:公升級到不向後相容的新版本時要特別小心,這意味著依賴的呼叫邏輯可能需要重寫。

#!/usr/bin/env

bash

npm audit fix --force

實際上,漏洞並不是由npm檢查出來的,npm只是提供了乙個反饋的平台而已。

漏洞資訊是全世界各地的開發者發現並反饋到npm平台的。

npm audit所做的工作,只是檢查專案中使用的依賴包是否存在漏洞反饋。如果有,發出警告。

換言之,乙個沒有漏洞反饋的依賴包,並不意味著絕對安全,可能只是沒有人發現或反饋而已。

漏洞反饋位址

Git安全漏洞檢查CVE 2021 21300

本專案模擬乙個利用cve 2021 21300漏洞執行倉庫內惡意指令碼的行為,如果您的git客戶端有 cve 2021 21300 的安全漏洞,執行 git clone 本倉庫時會輸出以下內容 cve 2021 21300 detected please update your git to fix...

WEB服務的安全漏洞

隨著網路的飛速發展,如今很多系統都是基於 b s的模式提供 web服務,web系統很方便但也很危險,傳輸的資料很容易被截獲,從而給使用者造成損失,如果部署了 ssl數字證書的話,在很大程度上能保證資料的安全,尤其是在傳輸過程中。ssl secure sockets layer 安全套接層 其繼任者傳...

ASP常見的安全漏洞

asp的漏洞已經算很少的了,想要找到資料庫的實際位置也不簡單,但這不表明黑客無孔可入,也正是這個觀點,一般的程式設計員常常忘記仔細的檢查是否有漏洞,所以才有可能導致 資料被竊取的事件發生。今天我在這裡和大家談談asp常見的安全漏洞,以引起大家的重視及採取有效的防範措施。注意,在本文中所介紹的方法請大...