有些套件版本年代久遠，作者也沒有在維護了，如果拿這個套件接專案真的OK嗎?
在開始認真理解 pure-admin 之前，今天就來找一款工具幫助我們掃描專案依賴的套件是否有安全問題

如何使用?

官網: https://app.snyk.io/login

1. 先註冊一個帳號

可選擇 Google or Github

2. Dashboard 頁面有教學使用

3.跟著教學一步一步來，先用VScode開啟專案，開啟終端機

npm install -g snyk
snyk auth

驗證會開啟驗證網頁，點按鈕給予授權

4.開始執行掃描

snyk monitor

掃描後會得到一個連結，前往連結查看掃描結果

Monitoring C:\Users\YUAN\Documents\ithome\pure-admin-thin (pure-admin-thin)...

Explore this snapshot at https://app.snyk.io/org/dpes8693/project/34d6f853-4397-4c2f-90fb-a00f473d6214/history/37a6cc86-6080-4a07-a4f2-89b39dbdb904

Notifications about newly disclosed issues related to these dependencies will be emailed to you.

5.查看結果

點開該網址往下滾
點Dependencies分頁會看到所有套件的列表

C,H,M,L分別代表

• Critical 嚴重
• High 高風險
• Medium 中風險
• Low 低風險

都沒有出現風險，太好了! (P.S 沒有出現並不代表100%安全，說不定只是沒被發現漏洞而已)

找一個有問題的例子

Google關鍵字: angular snyk
或是到這邊搜尋 https://snyk.io/advisor/

舉有名的Angular為例子
https://snyk.io/advisor/npm-package/angular

可以看到以前版本的Angular有出現高風險的紀錄
點進去可以看到問題的介紹

總結

越多人用的套件or框架越容易被發現問題，未來如果團隊要導入某些套件除了參考Github星星和Issue數量之外，不妨可慮一下這個工具看一下歷史版本是否被掃描出問題!後續版本有沒有修正...等等資訊

想知道更多

Synk 非常強大，可以整合很多自動化(CI/CD)檢查
這部分就請有興趣的讀者到官方查看囉

值得一看的文章:
https://www.frank.hk/blog/snyk