La commande npm audit désormais alimentée par GitHub Advisory Database
Le 08 octobre 2021 à 07h54
1 min
Logiciel
Logiciel
npm et GitHub avaient chacun une base de données contenant des milliers de failles référencées, afin que les développeurs puissent rapidement savoir si leurs projets utilisaient des composants vulnérables, par exemple des cadriciels (frameworks).
Mais puisque npm fait partie de GitHub, la question de la redondance était posée. GitHub avertit ainsi que la commande npm audit puise désormais dans la GitHub Advisory Database. La commande est surtout utilisée dans les projets Node.js pour vérifier les dépendances.
La GitHub Advisory Database (GAD) comprend des renseignements sur environ 5 000 failles et alimente déjà des outils comme Dependabot. Toutes les données de la base npm y avaient été versées l’année dernière.
GitHub a finalement ajouté un proxy sur sa base de données afin qu’elle puisse « parler » avec le protocole spécifique à npm audit. Toutes les versions de la CLI npm prenant en charge audit discutent donc avec la GAD désormais.
Le 08 octobre 2021 à 07h54
Commentaires (0)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vous