什么是npm?安装node.js和更新npm本地安装npm包使用package.json更新本地包卸载本地包安装npm包到全局更新全局的包卸载全局包创建node.js模块发布npm包语义化版本规则和npm使用域包使用标签包和模块2代npm中依赖的问题与解决方法3代npm中依赖的问题与解决方法3代npm中的冗余及解决方法3代npm中的非确定性使用最新且稳定的node版本使用最新且稳定的npm版本npm常见的错误npm的编码风格设置已发布的包的访问级别增加一个 registry 用户账号运行安全审计显示 npm bin 文件夹浏览器打开包的bugs追踪页面npm-build 构建包npm-pack 创建包的 tarball 文件npm-ping检测npm registry 连接npm Tab 补全管理 npm 配置文件npm-prefix 显示目录前缀将包的某个版本标记为已废弃npm-rebuild 重新构建包Web浏览器中打开包的文档页面npm-repo浏览器中打开包代码仓库npm-restart 重新启动包npm-explore浏览安装过的包npm-help 获取npm帮助npm-help-search搜索npm帮助文档npm-root 显示 npm 根目录npm-init 创建 package.json 文件npm-star 标记你喜欢的包npm-stars 查看被标记为喜欢的包npm-start 启动包npm-stop 停止包npm-test 测试包npm-whoami 显示 npm 用户名
运行安全审计
概述
npm audit [--json|--parseable]
npm audit fix [--force|--package-lock-only|--dry-run|--production|--only=dev]示例
扫描项目漏洞,为易受攻击的依赖自动安装兼容更新。
$ npm audit fix
运行 audit fix ,但不修改 node_modules,只更新锁文件:
$ npm audit fix --package-lock-only
跳过更新 devDependencies:
$ npm audit fix --only=prod
使用 audit fix 将语义化版本主版本更新安装为顶级依赖,不仅仅是兼容的语义化版本:
$ npm audit fix --force
进行空运行(dry run),从而了解 audit fix 会做什么,也支持以 JSON 格式输出安装信息:
$ npm audit fix --dry-run --json
扫描项目漏洞,仅显示细节,不会进行修复:
$ npm audit
使用 JSON 格式显示详细的审计报告:
$ npm audit --json
使用纯文本格式展示详细的审计报告,用制表符分隔,允许未来在脚本或者命令行后处理中复用, 例如选择打印某些列:
$ npm audit --parseable
如果要解析列,你可以使用像 awk 这样的工具,仅打印其中的一部分:
$ npm audit --parseable | awk -F $'\t' '{print $1,$4}'描述
audit 命令会提交(项目配置的)依赖描述到默认的 registry,请求一份已知漏洞的报告。 该报告返回内容包含根据该信息如何采取行动的说明。
你也可以通过运行 npm audit fix 让 npm 自动修复漏洞。注意,一些漏洞不能被自动修复,需要手动 干预或者评审。同样需要注意的是,由于 npm audit fix 会在底层运行 npm install,所有应用到 安装器的配置也会应用到 npm install——因此 npm audit fix --package-lock-only 才能按预 期工作。
内容提交
- npm 版本
- Node 版本
- 平台
- Node 环境变量
- 从你的 package-lock.json 或 npm-shrinkwrap.json 中清洗出来的版本
清洗
为了确保潜在的敏感信息不会被包含在审计数据包中,一些依赖的名称(有时候是版本)可能会被替换为不透明 不可逆的标识符。这样做是为了以下依赖类型:
- 任何引用 scope 的模块(被配置为非默认 registry),名称会被清洗。换言之,scope 就是 npm login --scope=@ourscope 中的 scope。
- 所有的 git 依赖,名称和说明符会被清洗。
- 所有的远程压缩包依赖,名称和说明符会被清洗。
- 所有的本地目录和压缩包依赖,名称和说明符会被清洗。
不可逆的标识符是由会话特定的 UUID 和被替换值计算出来的 sha256 哈希值,确保不同运行时的载荷 (payload)是一致的。