问题标签 [npm-audit]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
npm - 如何配置 Nexus Repository Manager 以支持 npm 审计
当我尝试npm audit在我的 (Angular 7) 应用程序中执行时,我收到以下 npm 错误:
npm 错误!代码 ENOAUDIT
npm 错误!审计 您配置的注册表 ( https://nexus.xxx.com/repository/yyy/ ) 不支持审计请求,或者审计端点暂时不可用。
有谁知道我怎样才能让 Nexus 支持npm audit?
javascript - 您配置的注册表不支持审计请求 ~ 在 npm audit
我有 1 个形式的依赖项"protobufjs": "git+https://github.com/danieldanielecki/protobufjs-angularfire.git#master",即使用npm install --save https://github.com/danieldanielecki/protobufjs-angularfire#master. 有什么办法可以将其包含在其中npm audit吗?每当我尝试审核包时,我需要以这种方式获取包,但我会npm audit失败并出现以下错误:
就 CI 而言,这真的很烦人,因为那时我的管道失败了。
`npm audit` 不断返回“您配置的注册表(https://registry.npmjs.org/)不支持审计请求。”这个问题是不真实的。我怎样才能让它再次工作?,在那里(或其他任何地方)找不到答案。
npm - 在 SonarQube 中使用 npm 审计报告
我正在开发网络应用程序。我需要检查依赖项的安全性。
我实际上正在使用 OWASP 依赖项检查扫描我的源代码,但我认为它不是在网络应用程序上使用的最佳工具。我认为 npm audit 或 yarn audit 是检查这个应用之王的依赖安全性的更好工具。
使用 OWASP,我使用 OWASP SonarQube 项目将结果集成到 sonarQube 使用的设置示例:
同理,有没有办法使用 npm 审计(或纱线审计)报告到 SonarQube 中?
目前,我使用以下命令生成 json 格式的报告:
我也知道可以使用https://github.com/eventOneHQ/npm-audit-html从 npm 审计生成 HTML 报告
所以,它只是缺少一个 SonarQube 插件来导入它或类似的东西,但我找不到它。
npm - 更新传递依赖
我运行npm audit并收到一条消息assign-deep有一个漏洞,但它已在 1.0.1 中修复
不幸的是,这是一个传递依赖。有没有办法更新这个传递依赖,所以它使用 v1.0.1 ?
jenkins - 如何在 jenkins 中显示 npm 审计的结果并失败构建
我想运行 npm 命令npm audit作为 ci 构建的一部分,并以某种方式在 jenkins ci 构建中显示输出。
如果发现严重漏洞,我想通过返回非零退出代码来使当前构建失败。
javascript - create-react-app 安装报告了 NPM 漏洞,我应该做些什么吗?
我是 ReactJs 的新手,并开始建立一个新项目
它完成但报告了一些漏洞,如以下,任何人都可以帮助我处理这个问题的最佳实践,或者我们可以忽略这些漏洞吗?
建立 ReactJS 项目的最佳实践是什么?
发现 81 个漏洞(21 个低、35 个中等、24 个高、1 个严重)
npm - Npm 审计报告说“1 个漏洞需要人工审查并且无法更新”/.Node js
首先,我在运行时收到以下消息npm audit:
打字npm audit fix也无济于事:
在https://npmjs.com/advisories/880上,他们建议将axios版本升级到>=0.18.1. 但是,在我package.json的版本中是^0.19.0.
包.json:
因此,我尝试手动升级axiosin 的版本,package-lock.json因为它仍然显示0.16.1.
包锁.json:
...到版本0.19.0。然而,这并没有帮助......有什么建议吗?
angular - NPM-AUDIT 发现高漏洞。我应该做些什么?
npm audit在我的项目上运行并给我这个
@angular-devkit/build-angular [dev] 的 高命令注入依赖路径 @angular-devkit/build-angular > @ngtools/webpack > tree-kill
更多信息 https://npmjs.com/advisories/1432
高级指令注入
包树杀
已在 >=1.2.2 中修补
@angular-devkit/build-angular [dev] 的依赖关系
路径 @angular-devkit/build-angular > tree-kill
Tree-kill需要更新,但它是 Angular 的一个部门,而不是我的。所以呢?需要等待 angular-team 将自己的 package.json 更新为更新版本的 tree-kill 吗?
angular - NPM 更新依赖的依赖
我目前在更新 NPM 包 tree-kill 时遇到问题,它是 @angular-devkit/build-angular 的依赖项。tree-kill 1.2.1 发布了一个安全公告https://nodesecurity.io/advisories/1432,该公告目前在我的 CI 管道中失败,包括因为管道包括“npm audit --audit-level high”。
我需要将 tree-kill 更新到 1.2.2 以解决安全咨询问题,但我已经在使用最新版本的 @angular-devkit/build-angular 并且我的 package-lock.json 具有 tree-kill 1.2.1 的要求@angular-devkit/build-angular。
我已经尝试卸载和安装 @angular-devkit/build-angular 以查看是否会安装 tree-kill 1.2.2 补丁。我也试过这个Npm update a dependency of an dependency in Node.js导致 package.json 依赖于 tree-kill 1.2.2 并且 package-lock.json 对于 @angular-devkit/build 仍然有 1.2.1 -角。
如何更新 package-lock.json 以便 @angular-devkit/build-angular 需要 tree-kill 1.2.2 而不是 1.2.1?
security - NPM 审计警告从何而来?
从我可以从文档中收集到的信息,
audit 命令将项目中配置的依赖项的描述提交到默认注册表,并要求报告已知漏洞。
所以那里有一个 NPM 注册表,我假设我将要从中获取包的同一个npm install,以及它包含安全审计警告的包。如果是这样,如何注册这些警告?