Softwarequalität steigern; Dependencies überprüfen!

Konsolenausgabe rot färben? Dafür gibt’s ein Modul! Prüfen, ob ein Objekt vom Typ Array ist? Dafür gibt es eigentlich eine native Funktion. Aber auch dieses 5 zeilige Modul mit über 63 Millionen Downloads pro Monat.

Projekte, die den Besitzer wechseln

In letzter Zeit ist es immer wieder passiert, dass Open Source Projekte an andere Entwickler übergeben werden. Doch was passiert, wenn der neue Entwickler nichts positives im Sinn hat und Schadcode verteilt? Im schlimmsten Fall sogar über transitive Abhängigkeiten?

npm audit

Mit npm 6.0 wurde npm audit eingeführt. Das Tool soll dabei helfen, die Sicherheit zu erhöhen, indem es auf vorhandene, bekannte Sicherheitslücken aufmerksam macht.

Builds bei vorhandenen Sicherheitslücken fehlschlagen lassen

Während des Builds sollte npm audit ausgeführt werden und das Ergebnis behandelt werden, wie fehlgeschlagene Tests.

found 6 vulnerabilities in 3508 scanned packages
  1 vulnerability requires semver-major dependency updates.
  5 vulnerabilities require manual review. See the full report for details.

Dieses Ergebnis sollte also Fehlschlagen. Das einzig akzeptable Ergebnis, dass nicht zu einem Abbruch führt, ist

... found 0 vulnerabilities ...

Das ganze ist relativ einfach mit einem regulären Ausdruck zu prüfen.

Lob, Kritik, Anregungen?

Wir freuen uns auf Ihre Meinung


Ältere Posts dieses Autors