Az npm-naplózás használata a csomag biztonsági réseinek észleléséhez és javításához
Azure DevOps Services
Az npm naplózási parancsa alapos vizsgálatot végez a projekten, azonosítja a lehetséges biztonsági réseket, és részletes jelentést hoz létre, amely kiemeli a talált problémákat. A biztonsági auditok végzése létfontosságú lépés a projekt függőségeiben lévő biztonsági rések felismerésében és megoldásában. Az npm auditjavítási parancsa automatikusan kezeli az észlelt biztonsági réseket, és frissíti a nem biztonságos csomagverziókat a legújabb biztonságos kiadásokra. Ezeknek a biztonsági réseknek a kezelése kulcsfontosságú az olyan lehetséges problémák megelőzéséhez, mint az adatvesztés, a szolgáltatáskimaradások és a bizalmas információkhoz való jogosulatlan hozzáférés.
Figyelmeztetés
Az npm-naplózás végrehajtása a package.json megadott összes csomag nevét továbbítja a nyilvános beállításjegyzékbe.
NPM-naplózás helyi futtatása
npm audit
helyileg is végrehajtható anélkül, hogy hitelesítésre lenne szükség a hírcsatornával. Ez lehetővé teszi a projekt biztonsági réseinek vizsgálatát, és részletes jelentést kaphat az észlelt biztonsági problémákról és azok súlyosságáról.
Ha ki szeretné javítani az észlelt biztonsági réseket, futtathatja npm audit fix
a műveletet, de ehhez hitelesíteni kell a hírcsatornával. Ez a parancs frissíti a nem biztonságos csomagverziókat a legújabb elérhető biztonságos kiadásokra.
Az npm-naplózási javítás futtatásakor nem csak a helyi projekt package.json és package-lock.json frissíti, hanem szinkronizálja is ezeket a módosításokat a társított Azure Artifacts-hírcsatornával. A csomagok újonnan védett verziói automatikusan elérhetők lesznek a hírcsatornában.
Ez a szinkronizálás biztosítja, hogy az ugyanazon a hírcsatornán osztozó többi projekt is részesülni fog ezekből a frissítésekből. Segít a csomagverziók konzisztens és biztonságos készletének fenntartásában minden projektben.
Futtassa a következő parancsot a projektkönyvtárban egy npm-naplózás végrehajtásához:
npm audit
Ha nem sebezhető csomagverziókra szeretne frissíteni, először győződjön meg arról , hogy csatlakozik a hírcsatornához , majd futtassa a következő parancsot a projektkönyvtárban:
npm audit fix
Az npm-naplózási javítás futtatása után győződjön meg arról, hogy alapos tesztelést végez az alkalmazáson annak ellenőrzéséhez, hogy a frissítések nem vezettek-e be kompatibilitástörő módosításokat. Ha egy javítás főverziófrissítést igényel, javasoljuk, hogy tekintse át a csomag kibocsátási megjegyzéseit az esetleges kompatibilitástörő változásokról. Ne feledje, hogy bár a nyilvánosan sebezhető függőségekkel rendelkező privát csomagok sebezhetőségi riasztásokat kapnak, az npm-naplózási javítással nem kap javításokat.
Feljegyzés
Az npm-naplózás automatikusan fut az npm telepítésekor, de csak nyilvános csomagok esetén működik.
NPM-naplózás futtatása a folyamatból
Az Azure Pipelines jelenleg nem támogatja az npm-naplózást. Ha a normál npm-naplózási parancsot próbálja használni a folyamatban, az sikertelen lesz. Ehelyett hajtsa végre az npm-naplózást a --registry argumentummal, és adja meg a hírcsatorna forrás URL-címét.
Jelentkezzen be az Azure DevOps-szervezetbe, és lépjen a projekthez.
Válassza a Folyamatok lehetőséget, válassza ki a folyamatot, majd a Szerkesztés gombra kattintva módosítsa.
A folyamatdefinícióban válassza ki a
+
jelet egy új tevékenység hozzáadásához.Keresse meg az npm-feladatot , majd válassza a Hozzáadás lehetőséget a folyamathoz való hozzáadásához.
Adja meg a feladat megjelenítendő nevét, és válassza ki az egyéni elemet a Parancs legördülő menüből.
Illessze be az egyéni parancsot a Parancs és az argumentumok szövegmezőbe:
Az alábbi paranccsal végezzen npm-naplózást, és vizsgálja meg a csomag biztonsági réseit. Cserélje le a helyőrzőt a hírcsatorna forrás URL-címére:
audit --registry=<FEED_SOURCE_URL>
Ha nem sebezhető csomagverziókra szeretne frissíteni, használja az alábbi parancsot. Cserélje le a helyőrzőt a hírcsatorna forrás URL-címére:
audit fix --registry=<FEED_SOURCE_URL>