-
package-lock-audit:审核npm package-lock.json是否存在安全问题下载
资源介绍
包锁定审核
一个简单的审核/皮棉/安全性工具,用于针对以下安全问题检查npm package-lock.json文件:
缺少integrity属性
http而不是https resolved属性
指向非npmjs.org存储库的已resolved URL
依赖项版本和resolved URL版本之间不匹配
依赖项程序包名称和resolved URL名称之间不匹配
与内置模块名称匹配的错误安装的软件包
(可选)检查仅GPL许可的依赖项( --nogpl true )
如果发生错误,它将返回非零退出代码,因此适合在CI管道中使用。
用法
npx package-lock-audit [--verbose 1] [--nogpl true] [...package-lock.json]
注意:最安全的方法是使用npx调用此二进制文件,并在对项目执行npm i之前执行此操作。 除非您愿意