使用 OWASP 依赖项检查时是否应该忽略node_modules?

Should I ignore node_modules when using OWASP dependency-check?

提问人:ssougnez 提问时间:10/20/2023 更新时间:10/20/2023 访问量:24

问:

我目前正在使用 OWASP 依赖项检查工具来查找我的 Angular 应用程序中的漏洞。

在阅读有关此的博客文章时,我注意到人们通常会排除node_modules包,我想知道这是否是一种正确的分析方法?

一方面,我知道如果深层依赖有问题,你什么也做不了,但忽略它是正确的吗?

另一方面,只分析你的直接依赖关系是有意义的。

这有什么经验法则吗?

角度 依赖 owasp-dependency-check

评论

2赞 Andrei 10/20/2023
通常,从node_modules得到的问题从package.json和package-lock.json中会很明显。因此,分析node_modules毫无意义。此外,并非每行代码都已打包到捆绑包中,因此它根本不会影响由此产生的应用程序安全性

答: 暂无答案

上一个:IIS 上的 OWASP ModSecurity 2.9 导致 403 禁止访问

下一个:如何在gradle中强制使用传递依赖项(netty-codec-http)的特定版本?