>任何人都可以发布他们的 Node.js 包来打开 Node 包管理器 (npm( 池。是否对已发布的包进行任何安全检查,以便我可以确保新包不包含任何有害代码?
有趣的是,知道节点包是否有任何投票系统,以便我可以从一堆类似的节点包中挑选出投票最多的包?
节点安全平台是一个旨在帮助开发人员做到这一点的工具!您可以通过多种方式测试项目依赖项是否存在已知漏洞 - 从命令行、与 CI 系统集成或与 github 集成。
这些漏洞是通过两个来源发现的:
- 一个由经验丰富的节点.js安全专业人员组成的团队,积极审核 npm 上的模块。
- 来自社区成员的提交,由上述团队验证。
也可以免费使用命令行工具,以及与开源 github 存储库的集成。
如果您使用的是 npm 企业版,nsp 还与 npm 合作提供侧边栏集成。这允许您直接从 npme Web UI 查看漏洞信息,这听起来像您正在寻找的内容。
就模块的受欢迎程度而言,有一个网站在某种程度上 nodejsmodules.org 这样做。我不时使用它,但要小心 - 他们有一个非常过期的HTTPS证书。
披露:我是Node Security Platform背后的公司^Lift Security的员工。
您还可以
使用 https://nodesecurity.io/将安全检查添加到 GitHub 拉取请求流中。
如果在将模块拉入系统之前对 npmjs.com 执行搜索,则 npmjs.com 上所有软件包的索引都会考虑维护、质量等。
npm 搜索也是 npm 包投票的不错选择。
npms分析器不断分析npm生态系统,从各种来源收集尽可能多的信息,包括GitHub,David和nsp。使用收集到的信息,根据四个不同的方面计算每个包装的最终分数:质量、维护、受欢迎程度和个性