Проверяет ли JFrog Xray зависимости package.json на наличие уязвимых пакетов?

Question

Я тестирую JFrog Xray в сочетании с Artifactory и развернул проект nodejs npm в виде сборки для Artifactory, которая затем была отсканирована Xray.(Используя это руководство )

В мой package.json я включил зависимость, которая, как я знаю, имеет уязвимость (lodash 4.17.10).Когда я просматриваю проект в Xray, статус «Отсканировано - никаких проблем».Я также ожидал увидеть зависимости проекта от Xray, но я не вижу ничего из этого.

Смогу ли я увидеть зависимости для сборки npm?Поскольку проект зависит от уязвимого пакета, я думаю, что странно, что Xray говорит, что проблем нет.

Answer 1

Когда вы запускаете команду Npm install через Npm-клиент, он разрешает зависимости package.json из Artifactory Npm Repo, эти разрешенные зависимости будут автоматически сканироваться Xray, если репозиторий Npm был помечен для индексации (сканирования).

Пожалуйста, добавьте больше деталей о том, как вы развернули ваш проект и разрешили его зависимости.