La commande npm audit désormais alimentée par GitHub Advisory Database

Le 08 octobre 2021 à 07h54
1 min
Logiciel
Logiciel
npm et GitHub avaient chacun une base de données contenant des milliers de failles référencées, afin que les développeurs puissent rapidement savoir si leurs projets utilisaient des composants vulnérables, par exemple des cadriciels (frameworks).
Mais puisque npm fait partie de GitHub, la question de la redondance était posée. GitHub avertit ainsi que la commande npm audit puise désormais dans la GitHub Advisory Database. La commande est surtout utilisée dans les projets Node.js pour vérifier les dépendances.
La GitHub Advisory Database (GAD) comprend des renseignements sur environ 5 000 failles et alimente déjà des outils comme Dependabot. Toutes les données de la base npm y avaient été versées l’année dernière.
GitHub a finalement ajouté un proxy sur sa base de données afin qu’elle puisse « parler » avec le protocole spécifique à npm audit. Toutes les versions de la CLI npm prenant en charge audit discutent donc avec la GAD désormais.
Le 08 octobre 2021 à 07h54
Commentaires (0)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vous