有没有办法对 Artifactory 中的私有包运行 npm 审计。目前,artifactory 正在对从远程存储库(NPM 公共注册表)下载的包运行 npm audit。但是,我们也想扫描内部开发的包。
谢谢!!!
1 回答
1
正如您所提到的,Artifactory 可以在 npm 虚拟存储库上审计 NPM 包 ,这些虚拟存储库聚合了至少一个支持 npm 审计的远程存储库。resgistry.npmjs.org 就是此类存储库的一个示例。
来自审计命令的数据由站点提供,npmjs 不会为我们的本地包提供该信息。JFrog 确实提供了 Xray,这是一种与 Artifactory 集成的产品,它递归地检查私有/公共工件和依赖项是否存在漏洞或许可证违规。文档对此提到:
拥有 Artifactory Pro X / Enterprise / Enterprise+ 许可证的 JFrog Xray 用户将获得一份增强的审计报告,其中包括来自 Xray 数据库的安全漏洞。当 Xray 配置为与 Artifactory 一起使用时,即使没有连接到任何远程存储库,也可以从头开始生成审计报告。
此时,审计功能将适用于您自己的工件和没有审计信息的公共工件。
于 2020-06-24T18:47:33.807 回答