Стандарты безопасности OWASP, как следует из названия, представляют собой всего лишь компиляцию стандартов безопасности для веб-приложений.
Фактически, команда npm audit проверяет устаревшие зависимости или известные проблемы. Эта команда не выполняет аудит на лету. Проблемы безопасности возникают из нескольких источников, например, Node.js, команда безопасности или Уведомления о безопасности Ubuntu , например, или таких пользователей, как you .
Основываясь на информации, полученной нами от npm, на самом деле трудно сказать, выполняет ли команда по безопасности npm , отвечающая за оценку уязвимостей пакетов, все рекомендации по безопасности от организации OWASP, но я уверен, что большая их часть остается в их памяти как профессионалы в области безопасности.
Обратите внимание, что NPM также использует сканер облачной безопасности Google и платформу тестирования AWS Penetration для оценки проблем безопасности в пакетах.