npm AWS检查器是否包括yarn.lock中的包漏洞,但未安装?

oknwwptz  于 2022-12-04  发布在  Yarn
关注(0)|答案(1)|浏览(262)

当对ECR图像使用AWS检查器时,结果提到了似乎没有安装在图像上的漏洞。
这篇来自snyk的article讨论了AWS Inspector如何使用Snyk来帮助它进行检测。

问题:

我的问题是AWS检查器或Snyk是否包括yarn.lock中的包漏洞,但没有安装?
这是其他包检查器的惯例吗?包括包中没有安装但作为依赖项列出的漏洞?
这没有意义,如果实际上没有安装软件包,为什么会是一个漏洞。

更多信息:

我认为没有安装该软件包的原因是,当我运行npm listdocs)时,没有列出有漏洞的软件包。
另外,当我在本地测试时,我没有看到包含可疑软件包的node_models文件夹。我看到它列在yarn.lock文件中。
(The可疑软件包是全局安装的软件包的devDependencydependencydependencydevDependency

便笺:

当我运行npm auditdocs)时,我没有看到任何列出的安全问题。npm audit有它自己的问题,列出的漏洞可能不是一个真实的的问题(请参阅hereenter link description here),但至少它没有列出甚至没有安装的包。
此问题可能依赖于this问题,即在安装软件包时(全局)安装devDependencies

ycl3bljg

ycl3bljg1#

最后一步,我们通过手动删除Docker图像中的所有yarn.lock文件来解决这个问题:

RUN yarn install --production --silent --pure-lockfile --cache-folder /usr/app/yarn-cache  \
    # get rid of all yarn.lock files as the AWS Inspector thinks they contain vulnerabilities
    && rm -rf ./yarn-cache \
    && find . -type f -name 'yarn.lock' -delete

显然,关于--cache-folder的部分可能与您无关,我们只是在多级构建中保留该高速缓存以加快速度

相关问题