npms 内部 npmaudit
命令在评估软件包是否存在漏洞时是否使用 OWASP 安全标准?
是否有关于 npm 的软件包如何审核的背景信息?
最佳答案
OWASP安全标准,顾名思义,只是针对Web应用程序安全检查的标准汇编。
事实上,npmaudit
命令会检查过时的依赖项或已知问题。该命令不会即时完成审核。安全问题有多个来源提出,例如 Node.js security team或Ubuntu security notices例如,或者由像 you 这样的用户.
根据我们从 npm 获得的信息,实际上很难判断 npm security team 是否有效。负责评估软件包漏洞的人员遵循 OWASP 组织有关安全性的所有建议,但我确信其中很大一部分仍留在他们作为安全专业人员的脑海中。
请注意,NPM 还依赖 Google 云安全扫描器和 AWS 渗透测试平台来评估包中的安全问题。
关于node.js - npm 的包审计使用 OWASP 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53121507/