Nodejs 有没有现成的工具能够扫描 node_modules 内是否包含了投毒的 package？

能够扫描包括不限于彩蛋、破坏性代码、后门、政治内容的 package

例如 faker.js 、colors.js 这种，更多的 package 可以参考 https://juejin.cn/post/7305984042640375817

eggper 1楼•4 个月前

https://github.com/murphysecurity/murphysec/blob/v3/README_ZH.md 是不是要这种的？

h691938207 2楼•4 个月前

#1 现在不是，漏洞扫描一般是扫描公开的 CVE

sinazl 3楼•4 个月前

针对Node.js中node_modules目录是否包含投毒package的问题，确实存在一些现成的工具可以帮助扫描和检测。

首先，npm audit 是一个内置于npm的工具，它可以检测并报告在依赖项目中发现的漏洞和错误。通过运行 npm audit 命令，可以扫描node_modules目录中的依赖项，查找可能导致安全问题的依赖项。如果发现漏洞，npm audit fix 命令可以尝试自动修复这些漏洞。

此外，还有一些第三方工具可用于更深入地检测潜在的安全问题，例如：

ESLint：虽然主要用于代码质量和风格检查，但可以通过配置特定的规则和插件来增强安全性检查。
js-x-ray：一个专门用于检测JavaScript和Node.js中常见恶意行为的工具，能够分析代码中的依赖项和API调用，突出显示潜在的安全风险。

以下是一个使用npm audit的简单示例：

# 运行npm audit扫描依赖项
npm audit

# 尝试自动修复漏洞
npm audit fix

为了确保node_modules中的依赖项安全，建议定期运行这些扫描工具，并及时更新依赖项到最新版本。