Usar la auditoría de npm
El comando npm audit examina el proyecto en busca de vulnerabilidades de seguridad y proporciona un informe detallado de cualquier anomalía identificada. La realización de auditorías de seguridad es una parte esencial para identificar y corregir vulnerabilidades en las dependencias del proyecto. Corregir estas vulnerabilidades podría evitar aspectos como la pérdida de datos, las interrupciones del servicio y el acceso no autorizado a información confidencial.
Azure DevOps no admite la auditoría npm, si intenta ejecutar el comando predeterminado npm audit desde la canalización, la tarea producirá un error con el siguiente mensaje: Final inesperado de la entrada JSON durante el análisis....
Como solución alternativa, puede ejecutar npm audit con el argumento del Registro . Esto enrutará el comando npm audit directamente al registro público.
Advertencia
La ejecución de la auditoría de npm reenviará todos los nombres de los paquetes del archivo package.json al registro público.
Ejecución de la auditoría de npm desde la canalización
Seleccione yaML o la pestaña clásica para aprender a ejecutar la auditoría de npm desde la canalización.
Agregue la siguiente tarea a la canalización de Yaml para buscar vulnerabilidades de seguridad.
steps:
- task: Npm@1
displayName: 'npm audit'
inputs:
command: custom
customCommand: 'audit --registry=https://registry.npmjs.org/'
- command: el comando npm que se ejecutará.
- customCommand:se requiere cuando el comando == personalizado.
Ejecución de la auditoría de npm en la máquina de desarrollo
Para ejecutar npm audit localmente, ejecute el siguiente comando en una ventana del símbolo del sistema con privilegios elevados:
npm audit --registry=https://registry.npmjs.org/