Az npm-naplózás használata a csomag biztonsági réseinek észleléséhez és javításához
Azure DevOps Services
Az npm naplózási parancsa alapos vizsgálatot végez a projekten, azonosítja a lehetséges biztonsági réseket, és részletes jelentést hoz létre, amely kiemeli a talált problémákat. A biztonsági auditok végzése létfontosságú lépés a projekt függőségeiben lévő biztonsági rések felismerésében és megoldásában. Az npm auditjavítási parancsa automatikusan kezeli az észlelt biztonsági réseket, és frissíti a nem biztonságos csomagverziókat a legújabb biztonságos kiadásokra. Ezeknek a biztonsági réseknek a kezelése kulcsfontosságú az olyan lehetséges problémák megelőzéséhez, mint az adatvesztés, a szolgáltatáskimaradások és a bizalmas információkhoz való jogosulatlan hozzáférés.
Figyelmeztetés
Az npm-naplózás végrehajtása a package.json megadott összes csomag nevét továbbítja a nyilvános beállításjegyzékbe.
NPM-naplózás helyi futtatása
npm audit helyileg is végrehajtható anélkül, hogy hitelesítésre lenne szükség a hírcsatornával. Ez lehetővé teszi a projekt biztonsági réseinek vizsgálatát, és részletes jelentést kaphat az észlelt biztonsági problémákról és azok súlyosságáról.
Ha ki szeretné javítani az észlelt biztonsági réseket, futtathatja npm audit fixa műveletet, de ehhez hitelesíteni kell a hírcsatornával. Ez a parancs frissíti a nem biztonságos csomagverziókat a legújabb elérhető biztonságos kiadásokra.
Az npm-naplózási javítás futtatásakor nem csak a helyi projekt package.json és package-lock.json frissíti, hanem szinkronizálja is ezeket a módosításokat a társított Azure Artifacts-hírcsatornával. A csomagok újonnan védett verziói automatikusan elérhetők lesznek a hírcsatornában.
Ez a szinkronizálás biztosítja, hogy az ugyanazon a hírcsatornán osztozó többi projekt is részesülni fog ezekből a frissítésekből. Segít a csomagverziók konzisztens és biztonságos készletének fenntartásában minden projektben.
Futtassa a következő parancsot a projektkönyvtárban egy npm-naplózás végrehajtásához:
npm auditHa nem sebezhető csomagverziókra szeretne frissíteni, először győződjön meg arról , hogy csatlakozik a hírcsatornához , majd futtassa a következő parancsot a projektkönyvtárban:
npm audit fix
Az npm-naplózási javítás futtatása után győződjön meg arról, hogy alapos tesztelést végez az alkalmazáson annak ellenőrzéséhez, hogy a frissítések nem vezettek-e be kompatibilitástörő módosításokat. Ha egy javítás főverziófrissítést igényel, javasoljuk, hogy tekintse át a csomag kibocsátási megjegyzéseit az esetleges kompatibilitástörő változásokról. Ne feledje, hogy bár a nyilvánosan sebezhető függőségekkel rendelkező privát csomagok sebezhetőségi riasztásokat kapnak, az npm-naplózási javítással nem kap javításokat.
Feljegyzés
Az npm-naplózás automatikusan fut az npm telepítésekor, de csak nyilvános csomagok esetén működik.
NPM-naplózás futtatása a folyamatból
Az Azure Pipelines jelenleg nem támogatja az npm-naplózást. Ha a normál npm-naplózási parancsot próbálja használni a folyamatban, az sikertelen lesz. Ehelyett hajtsa végre az npm-naplózást a --registry argumentummal, és adja meg a hírcsatorna forrás URL-címét.
Jelentkezzen be az Azure DevOps-szervezetbe, és lépjen a projekthez.
Válassza a Folyamatok lehetőséget, válassza ki a folyamatot, majd a Szerkesztés gombra kattintva módosítsa.
A folyamatdefinícióban válassza ki a
+jelet egy új tevékenység hozzáadásához.Keresse meg az npm-feladatot , majd válassza a Hozzáadás lehetőséget a folyamathoz való hozzáadásához.
Adja meg a feladat megjelenítendő nevét, és válassza ki az egyéni elemet a Parancs legördülő menüből.
Illessze be az egyéni parancsot a Parancs és az argumentumok szövegmezőbe:
Az alábbi paranccsal végezzen npm-naplózást, és vizsgálja meg a csomag biztonsági réseit. Cserélje le a helyőrzőt a hírcsatorna forrás URL-címére:
audit --registry=<FEED_SOURCE_URL>Ha nem sebezhető csomagverziókra szeretne frissíteni, használja az alábbi parancsot. Cserélje le a helyőrzőt a hírcsatorna forrás URL-címére:
audit fix --registry=<FEED_SOURCE_URL>