有些套件版本年代久遠,作者也沒有在維護了,如果拿這個套件接專案真的OK嗎?
在開始認真理解 pure-admin 之前,今天就來找一款工具幫助我們掃描專案依賴的套件是否有安全問題
可選擇 Google or Github
npm install -g snyk
snyk auth
驗證會開啟驗證網頁,點按鈕給予授權
snyk monitor
掃描後會得到一個連結,前往連結查看掃描結果
Monitoring C:\Users\YUAN\Documents\ithome\pure-admin-thin (pure-admin-thin)...
Explore this snapshot at https://app.snyk.io/org/dpes8693/project/34d6f853-4397-4c2f-90fb-a00f473d6214/history/37a6cc86-6080-4a07-a4f2-89b39dbdb904
Notifications about newly disclosed issues related to these dependencies will be emailed to you.
點開該網址往下滾
點Dependencies
分頁會看到所有套件的列表
C,H,M,L分別代表
Critical
嚴重High
高風險Medium
中風險Low
低風險都沒有出現風險,太好了! (P.S 沒有出現並不代表100%安全,說不定只是沒被發現漏洞而已)
Google關鍵字: angular snyk
或是到這邊搜尋 https://snyk.io/advisor/
舉有名的Angular為例子
https://snyk.io/advisor/npm-package/angular
可以看到以前版本的Angular有出現高風險的紀錄
點進去可以看到問題的介紹
越多人用的套件or框架越容易被發現問題,未來如果團隊要導入某些套件除了參考Github星星和Issue數量之外,不妨可慮一下這個工具看一下歷史版本是否被掃描出問題!後續版本有沒有修正...等等資訊
Synk 非常強大,可以整合很多自動化(CI/CD)檢查
這部分就請有興趣的讀者到官方查看囉
值得一看的文章:
https://www.frank.hk/blog/snyk