用npm审计和JFrog x射线保护你的代码

最新的JFrog Artifactory 6.10版本中提供的最新特性之一是支持NPM审核．

什么是npm审计?

的NPM审计命令生成一个审计报告这提供了所有已知的摘要安全漏洞在你的NPM包和依赖项中。它还提供了npm命令和建议，一旦这些漏洞被应用，就会修复它们。此外，' npm audit fix '命令甚至会尝试在可能的情况下自动应用这些建议。安全信息从npm审计信息提供程序中检索，例如npmjs.org．

更多关于审计报告

的审计报告包含信息表，每个表描述在依赖关系树中发现的特定安全漏洞。这些表包括有关严重性级别、受影响的包、它可能具有的任何依赖项、它的路径、指向有关该漏洞的更多信息的链接以及修复版本(包含此漏洞的补丁或根本不包含该漏洞的一系列版本)的信息。要修复这些安全漏洞，可以运行npm audit fix命令，它将获取与npm audit相同的报告，并尝试根据报告中的建议自动采取行动。

人工的npm审计支持

从这个版本开始，Artifactory用户现在可以在虚拟环境中运行npm命令npm库，聚合至少一个支持NPM审计的远程存储库。例如，一个虚拟存储库有一个远程存储库，它指向https://registry.npmjs.org或人工智能远程存储库．如果您的Artifactory实例连接到JFrog x光，然后生成的报告将被增强，以包含来自Xray数据库的安全漏洞。这使npm和Xray用户可以从npmjs和Xray数据库中受益。

此外，当Xray被配置为与Artifactory一起工作时，即使不连接到任何远程存储库，也可以从头生成npm审计报告。了解更多关于Xray如何扫描并发现所有主要软件包格式中的漏洞DevSecOps实践。

看到Artifactory v6.10发布说明获取所有新功能和修复问题的完整列表。