Npm JFrog X射线是否扫描易受攻击软件包的package.json依赖项?
我正在测试JFrog X射线与Artifactory的结合,并部署了一个nodejs npm项目作为Artifactory的构建,然后由X射线扫描。(使用) 在my package.json中,我包含了一个我知道存在漏洞的依赖项(lodash 4.17.10)。当我在X射线中查看项目时,状态为“已扫描-无问题”。 我还希望从Xray中看到项目依赖关系,但我没有看到任何这些Npm JFrog X射线是否扫描易受攻击软件包的package.json依赖项?,npm,artifactory,jfrog-xray,Npm,Artifactory,Jfrog Xray,我正在测试JFrog X射线与Artifactory的结合,并部署了一个nodejs npm项目作为Artifactory的构建,然后由X射线扫描。(使用) 在my package.json中,我包含了一个我知道存在漏洞的依赖项(lodash 4.17.10)。当我在X射线中查看项目时,状态为“已扫描-无问题”。 我还希望从Xray中看到项目依赖关系,但我没有看到任何这些 我应该能够看到npm构建的依赖关系吗?由于该项目依赖于一个易受攻击的软件包,我认为很奇怪,X射线说没有问题。当您通过Npm客
我应该能够看到npm构建的依赖关系吗?由于该项目依赖于一个易受攻击的软件包,我认为很奇怪,X射线说没有问题。当您通过Npm客户端运行Npm install命令时,它会解析软件包。来自Artifactory Npm Repo的json依赖项,这些解析的依赖项将 如果Npm回购已标记为索引(扫描),则由X射线自动扫描 请添加有关如何部署项目并解决其依赖关系的更多详细信息