npm - JFrog Xray 是否扫描 package.json 依赖项以查找易受攻击的包?

标签 npm artifactory jfrog-xray

我正在测试 JFrog Xray 与 Artifactory 的结合,并部署了一个 Nodejs npm 项目作为 Artifactory 的构建,然后由 Xray 扫描。 (使用this guide)

在我的 package.json 中,我包含了一个我知道有漏洞的依赖项(lodash 4.17.10)。当我在 Xray 中查看项目时,状态为“已扫描 - 没有问题”。 我还希望看到 Xray 的项目依赖项,但我没有看到任何这些。

我应该能够看到 npm 构建的依赖项吗?由于该项目依赖于一个有漏洞的包,我认为 Xray 说没有问题很奇怪。

最佳答案

当您通过 Npm 客户端运行 Npm install 命令时,它会解析 Artifactory Npm Repo 中的 package.json 依赖项,这些已解析的依赖项将是 如果 Npm 存储库已标记为索引(扫描),则由 Xray 自动扫描。

请添加有关如何部署项目并解决其依赖项的更多详细信息。

关于npm - JFrog Xray 是否扫描 package.json 依赖项以查找易受攻击的包?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55473515/

上一篇:使用 apply 选择 R 细胞

下一篇:Typescript super 类型

相关文章:

npm - 如何调试 .npmignore?

artifactory - 如何将 Jfrog Artifactory pro 升级到企业版或企业+版?

java - 除了使用 org.jfrog.buildinfo 的文件外,请勿将 *.jar 文件上传到 Artifact

javascript - 为什么 gulp 需要安装 --save-dev 而不仅仅是 --save

reactjs - Npm start 给我 : 'react-scripts' is not recognized as an internal or external command, 可运行的程序或批处理文件。

javascript - Node.js 会继续支持旧版本的 Node 模块吗

java - 从 Artifactory 远程存储库下载大型 Artifact

java - Maven 无法解析正确的 SNAPSHOT 依赖关系

jenkins 回滚以前的部署版本

©2024 IT工具网  联系我们