2

我正在测试 JFrog Xray 与 Artifactory 的结合,并将 nodejs npm 项目部署为 Artifactory 的构建,然后由 Xray 扫描。(使用本指南

在我的 package.json 中,我包含了一个我知道有漏洞的依赖项(lodash 4.17.10)。当我在 Xray 中查看项目时,状态为“已扫描 - 没有问题”。我还希望从 Xray 中看到项目依赖项,但我没有看到任何这些。

我应该能够看到 npm 构建的依赖项吗?由于该项目依赖于一个易受攻击的包,我认为 Xray 说没有问题很奇怪。

4

1 回答 1

2

当您通过 Npm 客户端运行 Npm install 命令时,它会从 Artifactory Npm Repo 解析 package.json 依赖项,如果 Npm repo 已标记为索引(扫描),则 Xray 将自动扫描这些解析的依赖项。

请添加有关您如何部署项目并解决其依赖项的更多详细信息。

于 2019-04-03T18:42:08.593 回答