跳至主要内容

2 篇文章 含有標籤「yarn」

檢視所有標籤

弱掃報告修復決策:Node.js 套件 CVE 漏洞修復指南

· 閱讀時間約 19 分鐘
Bosh
Software Engineer

Container 中的 Node.js 依賴樹被掃描光線定位出弱點

最近在公司常常在處理 Node.js 專案的套件 CVE 弱點修復,趁著記憶力還很新鮮來記錄一下最近整理的完整判斷決策流程。最一開始看到弱掃報告裡的 CVE、Fixed Version 與一長串 node_modules 路徑時,我只知道「有套件要升」,卻不知道該怎麼升。前幾次只能一邊查資料、一邊問 AI,直到處理過幾種不同的依賴關係後,我才慢慢發現:修復 Node.js 套件漏洞,其實是一個讀依賴樹、判斷版本範圍,再選擇最小安全變更的過程。 因為當弱點落在直接依賴、間接依賴、嚴格版本宣告或多年未維護的套件上,後續選擇會完全不同。這篇文章我會把自己碰過與整理過的情境拆成案例,讓每一個決策都能看見前因後果。

使用 Gitlab package registry 發布與下載私人 npm 套件全記錄

· 閱讀時間約 12 分鐘
Bosh
Software Engineer

前情提要:
近期在幫公司開發一個提供內部前端成員使用的 npm package。在開發的過程中有一個比較麻煩的點是,我過去從來沒有開發過 npm package 的經驗,對於如何設置開發環境、打包、發布、維護可說是完全從零開始研究。再加上公司不希望這個 package 開源給外部使用,也沒有計劃要付費使用 npm Orgs 的私人 npm 功能。因此,除了研究如何開發 npm package 之外,同時還得研究是否有免費且適合我們公司的私人 npm library 的解決方案。