blackduck issue fix

news2024/12/25 15:50:29

文章目录

    • 场景
    • 依赖包风险扫描插件——synopsys codesight
      • 安装
    • 其他工具
      • snyk
      • 公司提供/允许的工具
    • 指定依赖版本

场景

你在一个前端nodejs项目中使用到了好多个依赖包,其中某几个依赖包的某些版本是有风险的。
在项目上线前,你最好修复这些安全风险。这时,你需要一些工具来帮助你:

  • 扫描出那些包含风险的依赖包,最好有风险等级(critical/high/medium/low);
  • 对于某个含风险的依赖,你需要知道它的哪个版本是无风险的;
  • (由于那些含风险的依赖,不一定是直接依赖,可能是间接依赖,所以)你需要知道在一个nodejs项目中如何指定某个依赖的确切的安装版本

依赖包风险扫描插件——synopsys codesight

https://marketplace.visualstudio.com/items?itemName=SynopsysCodeSight.vscode-codesight
VSCode 中可以搜到这个插件:
在这里插入图片描述注意插件介绍处有提到:Sign up for a free trial of Code Sight and get started in only a couple of minutes.
个人可以通过注册新账号的方式,免费试用一小会这个插件。
长期使用的话,这个服务是收费的。

安装

在 VSCode 插件安装功能中搜索 codesight,点击安装。

在这里插入图片描述

安装成功后会自己弹出以下页面:

在这里插入图片描述
需要提供一个你的邮箱,用于接收验证链接。

其他工具

snyk

https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner
这个插件我还没用过,先留在这里。

在这里插入图片描述

公司提供/允许的工具

如果你公司对于要上线的项目有风险扫描这一步,那同时应该会配备扫描工具,用扫描结果来限制你的上线动作(项目上线前必须修改某某问题)。
这个公司已经为之付费过、用于扫描要上线项目的扫描工具,也是你的工具。

指定依赖版本

这一步骤花了我一周时间。

一开始,是通过手动编辑package-lock.jsonnpm-shrinkwrap.json文件中涉及到的依赖的version, resolved, integrity 等。
integrity的值用npm info xxx@versionNumber得出(就是依赖包的checksum值)。
由于我掌握了VSCode多处编辑的快捷键,而且要调整版本的依赖数量也不多,很快就可以搞定。

但是要调整版本的依赖数量太多的时候,人工+重复的工作模式只能成为历史,
以下是代码修改量少,工作量更小,出错环节也更少的修改方式:
nodejs前端项目 如何显式指定某个依赖的版本 resolutions 字段 + npm-force-resolutions 插件 package-lock.json

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/356097.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SVN 获取多版本间的更新内容

文章目录背景介绍操作步骤 - 获取某段时间内的代码更新内容背景介绍 公司有个项目期初明确要做微信小程序,没有做其他端的意向,并且当时团队人数有限,没有项目实践过 uniapp,项目时间周期紧,就没有用 uniapp 去实现 然…

Linux架设魔兽争霸3战网Battle.net私服

文章目录 用到的工具pvpgnpvpgn-support-1.2Warcraft 3 Loader for PvPGNBNetEditor.exe搭建服务端魔兽争霸3登录战网私服添加战网服务器地址使用Warcraft 3 Loader启动魔兽争霸3工具下载用到的工具 pvpgn PvPGN是一款免费开源的跨平台服务器软件,支持Battle.net和Westwood …

SpringSecurity源码分析(一) SpringBoot集成SpringSecurity即Spring安全框架的加载过程

Spring Security是一个强大的并且高度可定制化的访问控制框架。 它基于spring应用。 Spring Security是聚焦于为java应用提供授权和验证的框架。像所有的spring项目一样,Spring Security真正的强大在于可以非常简单的拓展功能来实现自定义的需求。 在分析SpringBoot集成的Spri…

张晨光-JAVA零基础保姆式技术教程之-事务

事务 课程目标 1、什么是事务 2、jdbc如何控制事务 3、设置事务的回滚点 4、事务的特性ACID 5、数据库事务的隔高级别事务理解 什么是事务: 指逻辑上一组操作,要么同时成功,要么同时失败。 举例: 转账 a 给b 转账 100 a原来有…

React Native Cannot run program “node“问题

概述 前几天mac重装系统了,用Android studio重新构建React native项目时,报Cannot run program "node"错误。 电脑系统为macOS 12.6.3 (Monterey),M1 Pro芯片。设备信息如下图所示: 完整错误信息如下图所示&#xff…

链表OJ(七)删除有序链表中重复的元素-I -II

目录 删除有序链表中重复的元素-I 删除有序链表中重复的元素-II 删除有序链表中重复的元素-I 描述 删除给出链表中的重复元素(链表中元素从小到大有序),使链表中的所有元素都只出现一次 例如: 给出的链表为1→1→21→1→2,返回1…

码农饭碗不保——ChatGPT正在取代Coder

码农饭碗不保——ChatGPT正在取代Coder 最近被OpenAI的ChatGPT刷屏了。我猜你已经读了很多关于ChatGPT的文章,不需要再介绍了。假如碰巧您还不太了解ChatGPT是什么,可以先看一下这篇文章,然后再回来继续。 与ChatGPT对话很有趣,…

【尊享版】如何从零到一掌控习惯?

超友们,早上好~ 今天为你带来的分享是《如何从零到一掌控习惯?》,主要分为八个部分: 一、【为什么要培养习惯?】 二、【养成新习惯为什么很难?】 三、【习惯养成的原理是什么?】 …

D3.js绘图流程

简介 D3.js是由javaScript语言编写绘图库,其原理是:通过调用一系列内置函数,生成SVG,并在网页渲染。 本文以频率分布直方图案例为例,介绍使用D3.js的流程 流程 第一步 引用D3.js库 建立一个html文件,在…

【Flutter】入门Dart语言:初步了解内建类型

文章目录一、概述1.为什么叫内建类型?2.Dart的内建类型有哪些?二、内建类型详解1.num2.int3.double4.String5.bool6.List7.Map8.Function三、总结一、概述 "The greatest glory in living lies not in never falling, but in rising every time we…

分享111个HTML体育竞技模板,总有一款适合您

分享111个HTML体育竞技模板,总有一款适合您 111个HTML体育竞技模板下载链接:https://pan.baidu.com/s/1JmjlNVApPLVWnSEN5VlILQ?pwd5kzl 提取码:5kzl Python采集代码下载链接:采集代码.zip - 蓝奏云 响应式户外攀岩运动宣传…

【亲测有效】错误代码0x904,远程桌面连接异常终端问题

【亲测有效】错误代码0x904,远程桌面连接异常终端问题一、问题情况二、解决办法1.打开防火墙,如图,点击“允许应用或功能通过Windows”2.点击“允许其他应用”3.点击“浏览”4.在如下目录找到“mstsc.exe”添加5.点击“添加”6.勾选“专用”和…

[软件工程导论(第六版)]第5章 总体设计(课后习题详解)

文章目录1. 为每种类型的模块耦合举一个具体例子。2. 为每种类型的模块内聚举一个具体例子。3. 用面向数据流的方法设计下列系统的软件结构。4. 美国某大学共有200名教师,校方与教师工会刚刚签订一项协议。按照协议,所有年工资超过$26000(含$…

电商搜索和推荐场景下的MLOps实践

省时查报告-专业、及时、全面的行研报告库省时查方案-专业、及时、全面的营销策划方案库【免费下载】2023年1月份热门报告合集ChatGPT的发展历程、原理、技术架构及未来方向《ChatGPT:真格基金分享.pdf》2023年AIGC发展趋势报告:人工智能的下一时代2023年…

图的基本概念和性质

目录一、图的引入1.引言2.不同类型的图3.无序对和无序积4.什么是图二、图的表示1.图的表示2.邻接矩阵3.邻接点与邻接边4.一些简单的特殊图三、图的分类1.按边有无方向分类2.按有无平行边分类3.按有无权值分类4.综合分类方法四、子图和补图1.各类子图2.完全图3.补图4.补图的邻接…

WSL(ubuntu2204)xfce4安装中文环境和fcitx5框架及中文输入法

安装中文语言包 sudo apt install language-pack-zh-hans 配置中文显示 首先运行如下命令配置 locale $ sudo vi /etc/locale.gen 找到 *zh_CN.UTF-8 UTF-8* 并取消注释,然后保存并退出。 locale.gen... # zh_CN.GBK GBK zh_CN.UTF-8 UTF-8 # zh_HK BIG5-HKS…

【C语言刷题】倒置字符串

解题思路与过程📽️解题思路📽️解题过程🔧1.输入🔧2.设计逆序函数🔧3.逆序整个字符串🔧4.逆序每个单词📽️源码📷先来看题👇📽️解题思路 🔴 首先…

【验证码的识别】—— 图形验证码的识别

前言 (结尾有彩蛋欧) 目前,许多网站采取各种各样的措施来反爬虫,其中一个措施便是使用验证码。随着技术的发展,验证码的花样越来越多。验证码最初是几个数字组合的简单的图形验证码,后来加入了英文字母和混…

RK356x U-Boot研究所(命令篇)3.6 fdt命令的用法

平台U-Boot 版本Linux SDK 版本RK356x2017.09v1.2.3文章目录 一、fdt命令的配置二、fdt命令的定义三、fdt命令的用法3.1 fdt list3.2 fdt rm3.3 fdt set一、fdt命令的配置 .config配置文件需要有以下配置: rk3568_defconfig默认已使能。 二、fdt命令的定义 usb命令定义在cm…

169、【动态规划】leetcode ——123. 买卖股票的最佳时机 III:二维数组+一维数组 (C++版本)

题目描述 原题链接:123. 买卖股票的最佳时机 III 解题思路 (1)二维dp数组 动态规划五步曲: (1)dp数组含义: dp[i][0],表示无操作。主要由四个状态来表示四种操作。dp[i][1]&…