npm audit
führt ein Security-Review des Dependency-Trees von Projekten durch, der sofort erfolgt und auf einem Abgleich mit den Schwachstellen beruht, die in der Datenbank von NodeSecurity.io erfasst sind. Durch das Ausführen von npm audit
werden Reports erzeugt, die nicht nur darüber Auskunft geben, welche Schwachstellen im Code vorliegen, sondern auch Hinweise zu ihrer Beseitigung mit npm-Kommandos.
npm: Code-Audits automatisiert durchführen
Daneben umfassen die Reports, die von npm audit
erzeugt werden, Informationen zum Ort und der Dependency, die im Rahmen welcher eine Sicherheitslücke gefunden wurde. Außerdem umfassen sie einen Link zu mehr Informationen zum jeweiligen Problem auf der Node Securitry Platform, die kürzlich von npm übernommen wurde. Auch während der Installation neuer Dependencies per npm install
wird nun eine automatische Sicherheitsprüfung durchgeführt und eine Meldung ausgegeben, die über eventuell vorhandene Schwachstellen informiert. Für einen vollständigen Report muss aber npm audit
genutzt werden, das allen Nutzern der entsprechenden npm-Versionen kostenlos zur Verfügung steht.
npm audit ist mit Versionen ab npm@5.10.0 und npm@6 vollständig kompatibel. In älteren Versionen wird kein vollständiger Bericht erzeugt, sondern nur eine Warnung ausgegeben:
npm-notice: [SECURITY] marked has 3 high, and 2 moderate vulnerabilities. Go here for more details: https://nodesecurity.io/advisories?search=marked&version=0.3.0 - Run `npm i npm@latest -g` to upgrade your npm version, and then `npm audit` to get more info.
Bewusstsein für Sicherheitslücken schärfen
Von dem neuen npm audit
erhofft man sich bei npm, bei Entwicklern mehr Bewusstsein für das Problem der Schwachstellen in Open-Source-Software zu schaffen. So möchte man dazu beitragen, dass innerhalb des JavaScript-Ökosystems seltener Dependencies verwendet werden, die Schwachstellen enthalten und das Ökosystem so insgesamt sicherer werden könne. Mehr Informationen zum automatisierten Audit von Dependencies im Code gibt es im npm Blog und in der offiziellen Dokumentation von npm audit
.