web-dev-qa-db-ja.com

Node.jsパッケージの「脆弱性履歴」を取得するにはどうすればよいですか?

Npmを介してNode.jsパッケージをインストールするとき、またはnpm-auditを実行するときに、プロジェクト内のパッケージの既知の脆弱性に関する情報を取得します。私の理解から、これは、この脆弱性情報を含むデータベースがどこかになければならないことを意味します。

このデータベースを使用してパッケージの「脆弱性の履歴」を取得する可能性はありますか?このDBにnpmパッケージ "xyz"のクエリを実行して、すべてのバージョンと、このバージョンに関連する既知の脆弱性を取得します。

2
pinas

https://snyk.io をご覧ください。多くのnpmパッケージを含む公開 Vulnerability DB があります。そこで、目的のパッケージを検索して、すべての既知の脆弱性を取得できます。

例Angular JS: https://snyk.io/vuln/search?q=angular&type=npm

パッケージの概要を取得するには、https://snyk.io/vuln/npm:<package>を使用できます。

https://snyk.io/vuln/npm:angular

https://snyk.io/test/npm/<package>/<version>を使用して特定のバージョンをテストすることもできます:

https://snyk.io/test/npm/angular/1.1.5

snyk.ioは [〜#〜] api [〜#〜] も提供していますが、無料ではなく [〜#〜] cli [〜#〜] ですnpm auditに似ています。

1
Samuel Philipp

パッケージやソフトウェアで脆弱性を検索している場合は、 https://cve.mitre.org/ のようなデータベースを調べることをお勧めします。あなたが話しているすべての一般的な脆弱性と露出がリストされています。ソフトウェアを検索フィールドに入力して、送信(ワードプレスのように)を押してください:

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress

ただし、注意してください。これらの脆弱性は既知のものです。バージョンを調べても何も見つからない場合でも、バージョンに問題がないというわけではありません。

1
CDRohling