Featured image of post Vulnerabilidades en dependencias con npm auditFeatured image of post Vulnerabilidades en dependencias con npm audit

Vulnerabilidades en dependencias con npm audit

Scan vulnerabilities in nested npm payloads using audit checkers and integrate Github automated security alerts.

npm audit escanea las dependencias del proyecto en busca de vulnerabilidades conocidas. Es la primera línea de defensa contra paquetes comprometidos.

Uso básico

npm audit lista vulnerabilidades por severidad (critical, high, moderate, low). Muestra ruta de dependencia, versión vulnerable y versión corregida.

npm audit fix

npm audit fix --force actualiza a la versión corregida. --force puede cambiar versiones major (puede romper cosas).

Alternativas

Snyk: escaneo continuo, PRs automáticos de fix. Dependabot: PRs automáticos en GitHub. socket.dev: análisis de comportamiento de paquetes.

Buenas prácticas

Ejecuta npm audit en CI. Revisa dependencias directas, no solo transitivas. Usa package-lock.json para versiones reproducibles. Overrides para forzar versiones.