用npm审计和JFrog x射线保护你的代码

最新的JFrog Artifactory版本6.10中提供的最新特性之一是支持NPM审核．

什么是npm审计?

的NPM审计命令生成一个审计报告它提供了所有已知信息的摘要安全漏洞在你的NPM包和依赖项中。它还提供了npm命令和建议，一旦它们被应用，就会修复这些漏洞。此外，' npm audit fix '命令甚至会在可能的情况下尝试自动应用这些建议。安全信息从npm审计信息提供者检索，例如npmjs.org．

更多关于审计报告

的审计报告包含信息表，每个表描述在依赖项树中发现的特定安全漏洞。这些表包括有关严重级别、受影响的包、它可能具有的任何依赖关系、其路径、到有关漏洞的更多信息的链接以及修复版本(包含此漏洞的补丁或根本不包含该漏洞的版本的范围)的信息。要修复这些安全漏洞，你可以运行npm audit fix命令，它将获取与npm audit相同的报告，并尝试自动根据报告中的建议采取行动。

Artifactory npm审计支持

从这个版本开始，Artifactory用户现在可以在虚拟机上运行npm命令npm库，聚合至少一个支持NPM审计的远程存储库。例如，具有指向的远程存储库的虚拟存储库https://registry.npmjs.org或Artifactory智能远程存储库．如果您的Artifactory实例连接到JFrog x光，则生成的报告将被增强，以包含来自Xray数据库的安全漏洞。这使npm和x射线用户可以从npmjs和Xray数据库中受益。

此外，当Xray配置为与Artifactory一起工作时，即使不连接到任何远程存储库，也可以从头生成npm审计报告。了解更多Xray如何扫描和发现所有主要软件包格式的漏洞，作为您的DevSecOps实践。

看到Artifactory v 6.10发布说明获取所有新功能和修复问题的完整列表。