npm 的包审计是否使用 OWASP?
Does npm's package audit use OWASP?
npms internal npm audit 命令在评估包漏洞时是否使用 OWASP 安全标准?
是否有任何关于 npm 的包如何被审核的背景信息?
Here 是 npm 博客中描述 npm audit 命令的 post。我找不到任何描述 npm 如何审核包的有效资源,但我认为它可能与节点安全平台有关。
OWASP安全标准,顾名思义,只是对web应用程序安全检查的标准汇编。
事实上,npm audit 命令会检查过时的依赖项或已知问题。该命令不会即时完成审核。安全问题来自多个来源,例如 Node.js security team or Ubuntu security notices for example, or by users like you.
根据我们从 npm 获得的信息,实际上很难判断负责评估软件包漏洞的 npm security team 是否遵循了 OWASP 组织关于安全性的所有建议,但我确信很大一部分作为安全专业人员,其中的一部分会留在他们的脑海中。
请注意,NPM 还依赖 Google 云安全扫描器和 AWS 渗透测试平台来评估包中的安全问题。
我知道已经晚了,但是 OWASP dependency-check 工具集的 Node Audit Analyzer 实际上使用 NPM Audit API 进行分析。
npms internal npm audit 命令在评估包漏洞时是否使用 OWASP 安全标准?
是否有任何关于 npm 的包如何被审核的背景信息?
Here 是 npm 博客中描述 npm audit 命令的 post。我找不到任何描述 npm 如何审核包的有效资源,但我认为它可能与节点安全平台有关。
OWASP安全标准,顾名思义,只是对web应用程序安全检查的标准汇编。
事实上,npm audit 命令会检查过时的依赖项或已知问题。该命令不会即时完成审核。安全问题来自多个来源,例如 Node.js security team or Ubuntu security notices for example, or by users like you.
根据我们从 npm 获得的信息,实际上很难判断负责评估软件包漏洞的 npm security team 是否遵循了 OWASP 组织关于安全性的所有建议,但我确信很大一部分作为安全专业人员,其中的一部分会留在他们的脑海中。
请注意,NPM 还依赖 Google 云安全扫描器和 AWS 渗透测试平台来评估包中的安全问题。
我知道已经晚了,但是 OWASP dependency-check 工具集的 Node Audit Analyzer 实际上使用 NPM Audit API 进行分析。