Sdílet prostřednictvím

Zjištění a oprava ohrožení zabezpečení balíčků pomocí auditu npm

  • Článek

Služby Azure DevOps

Příkaz npm audit provede důkladnou kontrolu projektu, identifikuje potenciální ohrožení zabezpečení a vygeneruje podrobnou sestavu, která zvýrazní všechny zjištěné problémy. Provádění auditů zabezpečení je zásadním krokem při rozpoznávání a řešení ohrožení zabezpečení v rámci závislostí projektu. Příkaz npm audit fix automaticky řeší zjištěné chyby zabezpečení a aktualizuje nezabezpečené verze balíčků na nejnovější zabezpečené verze. Řešení těchto ohrožení zabezpečení je zásadní pro zabránění potenciálním problémům, jako je ztráta dat, přerušení služeb a neoprávněný přístup k citlivým informacím.

Upozorňující

Provádění auditu npm bude přenášet názvy všech balíčků zadaných ve vašem package.json do veřejného registru.

Místní spuštění auditu npm

npm audit je možné spustit místně, aniž by bylo nutné provést ověření v informačním kanálu. Díky tomu můžete zkontrolovat ohrožení zabezpečení projektu a získat podrobnou zprávu o zjištěných problémech se zabezpečením a jejich závažnosti.

Pokud chcete opravit zjištěná ohrožení zabezpečení, můžete spustit npm audit fix, ale musíte být ověřeni v informačním kanálu, aby to bylo možné. Tento příkaz aktualizuje nezabezpečené verze balíčků na nejnovější dostupné zabezpečené verze.

Když spustíte opravu auditu npm, aktualizuje nejen package.json místního projektu a package-lock.json, ale také synchronizuje tyto změny s přidruženým informačním kanálem Azure Artifacts. Nově zabezpečené verze balíčků budou ve vašem informačním kanálu automaticky dostupné.

Tato synchronizace zajišťuje, že tyto aktualizace budou využívat i jiné projekty sdílející stejný informační kanál. Pomáhá udržovat konzistentní a zabezpečenou sadu verzí balíčků ve všech projektech.

  1. Spuštěním následujícího příkazu v adresáři projektu proveďte audit npm:

    npm audit

  2. Pokud se chcete pokusit upgradovat na nechranné verze balíčků, nejprve se ujistěte, že jste připojení k informačnímu kanálu , a pak v adresáři projektu spusťte následující příkaz:

    npm audit fix

Po spuštění opravy auditu npm nezapomeňte provést důkladné testování aplikace, abyste potvrdili, že aktualizace nezavádějí žádné zásadní změny. Pokud oprava vyžaduje aktualizaci hlavní verze, doporučujeme si projít poznámky k verzi balíčku a zjistit případné zásadní změny. Mějte na paměti, že zatímco privátní balíček s veřejnými ohroženými závislostmi dostává výstrahy ohrožení zabezpečení, nebude dostávat opravy prostřednictvím opravy auditu npm.

Poznámka:

Audit npm se spouští automaticky při každém spuštění instalace npm, ale funguje jenom pro veřejné balíčky.

Spuštění auditu npm z kanálu

Azure Pipelines v současné době nepodporuje audit npm. Pokud se pokusíte použít běžný příkaz npm audit v kanálu, nezdaří se. Místo toho spusťte audit npm s argumentem --registry a zadejte adresu URL zdroje vašeho informačního kanálu.

  1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

  2. Vyberte Kanály, vyberte kanál a pak ho upravte výběrem možnosti Upravit .

  3. V definici kanálu vyberte + znaménko a přidejte novou úlohu.

  4. Vyhledejte úlohu npm a pak vyberte Přidat , abyste ji přidali do kanálu.

  5. Zadejte zobrazovaný název úkolu a v rozevírací nabídce Příkaz vyberte vlastní název.

  6. Vložte vlastní příkaz do textového pole Příkaz a argumenty :

    1. Pomocí následujícího příkazu proveďte audit npm a vyhledejte ohrožení zabezpečení balíčků. Zástupný symbol nahraďte zdrojovou adresou URL informačního kanálu:

      audit --registry=<FEED_SOURCE_URL>

    2. Pokud se chcete pokusit upgradovat na nechranné verze balíčků, použijte následující příkaz. Zástupný symbol nahraďte zdrojovou adresou URL informačního kanálu:

    audit fix --registry=<FEED_SOURCE_URL>

    A screenshot showing the npm audit task in a classic pipeline.