這些漏洞一次可能有數百種類型,阿爾及利亞電話號碼庫
是由於配置錯誤、過時的 NPM 套件等而發生的,以下安全掃描程式應該可以幫助您找到它們。本文討論如何在有人攻擊您的應用程式之前找到 Node.js 安全漏洞並保護它們。我還想強調,本文將重點放在漏洞掃描工具。我建議您查看文章「如何保護 Node.js 免受線上威脅」來設定保護。
內容 隱藏
1檢查 Node.js 應用程式是否有安全漏洞的 8 個工具
1.1 斯尼克
1.2 NodeJS掃描
1.3 審計JS
1.4 檢測
1.5 MegaLinter
1.6 退休JS
1.7 eslint-插件-安全
1.8 節點安全 CLI
2 結論
2.1 相關出版品:
檢查 Node.js 應用程式是否有安全漏洞的 8 個工具
斯尼克
Snyk 是尋找容器、程式碼依賴項和基礎架構即程式碼中的漏洞的便捷選擇。無論是開發工具、自動化管道還是工作流程,Snyk 都直接與它們整合!
在最新的更新中,Snyk 包含了 SPDX v3.20。詳細程度將會增加,但偵測到的許可證數量將保持不變。此外,也支援使用 npm lockfile v3 的項目。別想了!這就是結局!它還有許多其他優點,包括
有了 Snyk,您就會對新的漏洞保持警惕。
這將幫助您避免新增新的依賴項。
有趣的事實:如果您在容器中部署 Node.js 應用程序,您還可以添加不安全的套件。 Snyk Container CLI 可以幫助您定義一個基礎映像,以減少應用程式的攻擊面。
NodeJS掃描
從技術上講,NodeJSScan 是專為 Node.js 設計的靜態安全程式碼掃描器(SAST)。它所基於的語言是Python。該工具由安全工程師常用的 SAST libsast和用於查找第三方依賴項中的漏洞的最快的開源靜態分析引擎 semgrep 提供支援。
要運行nodejsscan,您需要執行命令./run.sh。此指令將協助啟動位於http://127.0.0.1:9090的 nodejsscan Web 介面。在整合方面,您可以在Slack或電子郵件中建立警報,以接收有關漏洞的通知。總的來說,該程式可以讓您發現漏洞並使您的應用程式更加安全。這完全取決於您如何明智地選擇可以幫助您處理安全漏洞的工具。我推薦 Node JS Scan。
審計JS
如果您正在尋找完美的漏洞掃描工具,請開始信任 AuditJS。 AuditJS 有一個特殊的 REST API 劍 OSS Index v3 來辨識已知漏洞。它還可以找到過時版本的軟體包。 AuditJS 支援 npm、Angular、yarn 和 Bower 套件管理器,用於在 node_modules 資料夾中安裝依賴項的專案。
]
安裝過程包括多種方式,如npx安裝,提供最耗時的安裝,其命令為“npxauditjs@latestossi”,或全域安裝,提供最長的安裝,其命令為“ npm”安裝-gauditjs。經過我的分析,我建議透過 npx install 進行安裝。 Node.js 社群通常不鼓勵全域安裝。
偵測
Detectify 是另一個用於尋找 Web 應用程式中漏洞的工具。它最近在市場上嶄露頭角,並已成為可靠的選擇。它提供持續掃描以檢查應用程式是否存在最新漏洞。您也可以安排掃描在適合您的時間並行運行。
我想您可能會發現它有點開箱即用:您可以建立自訂整合並將關鍵安全資料發送到您每天使用的工具。最後,我想指出該系統的另一個特點:所有漏洞的完整概述,無論其身份如何。
MegaLinter
MegaLinter 被認為是防止技術債最有效的工具之一。該工具可幫助我們創建乾淨且高效能的程式碼,以便使用者可以在工作流程中節省時間。
