더북(TheBook)

15.1.4 retire

 

crossenv 사건처럼 패키지 자체가 악의적인 목적을 갖고 만들어지는 경우도 있고, 악의는 없지만 패키지에서 취약점이 발견된 경우도 있습니다. 따라서 설치된 패키지에 문제는 없는지 확인해보아야 합니다. 이를 위해 retire라는 패키지가 있습니다. 전역 설치합니다.

콘솔

$ npm i -g retire

 

설치 후 콘솔에 retire 명령어를 입력합니다. 문제 있는 패키지가 있다면 콘솔에 내용이 출력됩니다.

콘솔

$ retire
Loading from cache: https://raw.githubusercontent.com/RetireJS/retire.js/master/repository/jsrepository.json
Loading from cache: https://raw.githubusercontent.com/RetireJS/retire.js/master/repository/npmrepository.json
hoek 4.2.0 has known vulnerabilities:  severity: low; summary: Prototype pollution attack; https://hackerone.com/reports/310439
nodebird 0.0.1
↳ bcrypt 1.0.3
 ↳ node-pre-gyp 0.6.36
  ↳ request 2.83.0
   ↳ hawk 6.0.2
    ↳ cryptiles 3.1.2
     ↳ boom 5.2.0
      ↳ hoek 4.2.0
...

신간 소식 구독하기
뉴스레터에 가입하시고 이메일로 신간 소식을 받아 보세요.