在前端开发开中,我们常常需要使用 npm 包来完成项目所需的功能,但是有时候,我们可能并不清楚这些 npm 包是否安全可靠,如果安装了一个存在漏洞的 npm 包,可能会带来严重的后果。为了帮助开发者评估 npm 包的安全性,npm 提供了 npm audit 命令。而 audit-script 包则是一个 npm 提供的更加便捷的命令行工具,它可以在 npm install 的同时自动运行 npm audit,并及时通知用户是否存在安全漏洞。
安装 audit-script
在使用 audit-script 之前,首先需要将其安装到本地开发环境中,可以通过以下命令进行安装:
npm install audit-script --save-dev
我们使用 --save-dev 选项的原因是,audit-script 只在开发时用到,而在发布时是不需要被包含在项目中的。
使用 audit-script
安装完成之后,我们就可以来看看如何使用 audit-script 命令了。首先需要在项目的根目录中创建一个名为 audit-script.config.js 的文件。这个文件中的内容定义了 audit-script 在运行时需要的信息,包括:
registryURL:npm 的 registry 地址,默认为https://registry.npmjs.org/;severityThreshholds:实现安全漏洞等级筛选,默认为high;runInAction:audit-script需要运行的 npm 命令,默认为npm install。
以下是一个示例配置文件:
module.exports = {
registryURL: 'https://registry.npm.taobao.org',
severityThreshholds: ['high', 'critical'],
runInAction: 'npm ci'
}配置文件编写完成之后,我们就可以使用 audit-script 了。在命令行中,执行以下命令:
./node_modules/.bin/audit-script
当安装过程中存在安全漏洞时,audit-script 会自动停止安装,并向终端输出如下信息:
Audit check failed! - security: found 1 vulnerability. Run `npm audit` for details.
如果项目中并未安装有不安全的 npm 包,audit-script 就会自动执行 npm 命令,正如在配置文件中定义的那样。
此外,audit-script 还提供了一些与命令行相关的功能,包括 -v 选项(显示版本信息)和 -h 选项(显示帮助信息)。
指导意义
通过本文的介绍,我们了解了 audit-script 包的使用方法和注意事项。这个包的出现让我们在使用 npm 包时更加便捷、安全,以及规范。同时,也提醒我们关注 npm 包的安全性问题,在项目运行之前进行安全性检查,从而避免因为存在安全漏洞带来的不必要风险。
示例代码
以下是一个示例的 audit-script.config.js 文件:
module.exports = {
registryURL: 'https://registry.npm.taobao.org',
severityThreshholds: ['high', 'critical'],
runInAction: 'npm ci'
}来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/600562d981e8991b448e03b0