最近添加后npm audit(用于审核依赖关系)我注意到有多少个包之间存在巨大差异added(安装在node_modules)以及有多少个audited by npm。这是一个例子:
这是我的问题:
- 我说得对吗
281已安装的软件包总数是多少?
- Why is
npm审核的包比我项目中的包多吗?
对我来说这是有道理的npm可能必须回去audit其他软件包版本(如果发现漏洞),但在这种情况下found 0 vulnerabilities那么为什么需要额外的工作呢?
UPDATE:
我认为顶级依赖与子依赖之间存在一些混淆。运行以下命令来重现类似的差异:
mkdir test-npm-count-discrepancy
cd test-npm-count-discrepancy
npm init
npm i standard-version
请注意(在撰写本文时)200+依赖关系是added (i.e. standard-version及其所有子依赖项)但是1000+包是audited。重申一下,上面的主要问题是“为什么npm审核的软件包多于实际安装的软件包?”。
对于第一个问题:
- 社区如果没有依赖项列表或 package.json 之类的链接,就无法真正这么说。但是,如果你的包文件中只有几个,那么大多数时候它仍然是正常的。您可能自己安装了 12 个依赖项,但 NPM 会自动为您安装应用程序依赖项的大部分(如果不是全部)依赖项。它有助于加快您的工作流程。
对于第二个问题:
- 正如我在回答第一个问题时提到的,它正在审核您安装的和自动安装的,以便您安装的正常工作。
对于第三个问题:
- 它始终检查开发人员标记的漏洞,以便您可以获得最新版本,该版本在大多数情况下是错误最少、功能最强大且最安全的。
编辑:
整个要点npm install是更新当前的依赖项并将新的依赖项安装到目录中。要点是npm audit是检查是否有标记为修复安全问题的更新的依赖项。
编辑2:
我想我已经明白了:它可能会审核已安装的生产依赖项、您的依赖项和开发依赖项,以警告您您的依赖项之一是由开发人员不安全地构建的。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
