JavaScript: npm 6.1.0 schiebt ein weiteres Sicherheits-Feature nach
Kurz nach dem Sprung auf die neue Hauptversion liefert der Paketmanager npm ein Update für den neuen npm-audit-Befehl nach, das Sicherheitslücken automatisch beheben soll. Damit setzt das Team die mit Version 6 gestartete Sicherheitsinitiative fort.
(Bild: TheDigitalWay, Pixabay)
- Björn Bohn
Knapp einen Monat nach Veröffentlichung der neuen Hauptversion des Paketmanagers npm erscheint mit Version 6.1.0 das erste Minor Release der Version 6. Grund für die neue Version sind einige Neuerungen für den Befehl npm audit, der mit Version 6 Einzug in npm gehalten hat.
Sicherheitslücken automatisch beheben lassen
Mit npm audit können Nutzer die Abhängigkeiten ihrer Applikationen rekursiv überprüfen, um so Sicherheitsschwachstellen zu identifizieren. In npm 6.1.0 ist jetzt zusätzlich der Einsatz von npm audit fix möglich, was einen Großteil der Sicherheitslücken automatisch beseitigen soll. Der neue Befehl nimmt dabei alle ausführbaren Teile des Reports von npm audit und führt die Installationen der neu benötigten Abhängigkeiten automatisch durch.
Der npm-Blog weist darauf hin, dass sich die Automatisierung aber nur auf Veränderungen beschränkt, die mit semver (die semantische Versionierung für npm) kompatibel sind. Dadurch soll sich der Befehl sicher in Projekten ausführen lassen, ohne dass Entwickler auf die Suche nach schwerwiegenden Änderungen gehen müssen. Wer möchte, dass die Abhängigkeiten auch große semver-Sprünge akzeptieren, kann dies per npm audit fix --force veranlassen.
Eine vollständige Liste der Veränderungen in der neuen Version liefert der npm-Blog. Das npm-Team verspricht weitere Sicherheitsverbesserungen in den nächsten Versionen. Kaum überraschend, da npm erst kurz vor Erscheinen der Hauptversion 6 das ^Lift-Security-Team und damit auch die Node Security Platform übernommen hatte. (bbo)
