Mit dem Befehl npm audit kann die Abhängigkeiten der Applikationen rekursiv überprüfen werden, um so Sicherheitsschwachstellen zu identifizieren. In der neuen Version 6.1.0 ist jetzt zusätzlich der Einsatz von npm audit fix möglich. Damit soll ein Großteil der Sicherheitslücken automatisch beseitigen werden. Die Installationen der neu benötigten Abhängigkeiten werden automatisch durchgeführt.

Die Automatisierung beschränkt sich aber nur auf Veränderungen, die mit semver (die semantische Versionierung für npm) kompatibel sind. Damit soll sich der Befehl sicher in Projekten ausführen lassen, ohne dass Entwickler auf die Suche nach schwerwiegenden Änderungen gehen müssen. Bei Bedarf ist es auch möglich mit npm audit fix --force große semver-Sprünge zu akzeptieren.

Der npm-Blog liefert eine vollständige Liste der Veränderungen. Weitere Sicherheitsverbesserungen sollen in der nächsten Version folgen.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE