Pull to refresh

Comments 2

1) А бесплатный `npm audit` не подходит как анализатор зависимостей?

2) Вы как то встроили все эти инструменты в CI/CD?

1) он работает не совсем правильно, об этом можете почитать вот тут. Так же для общение с лабораторией вам потребуйся иметь номера CVE - уязвимостей. Иначе вы не сможете торговаться с лабораторией насчет применимости данной уязвимости к вашей поверхности атак.

2) да у нас все засунуто в пайплайн гитлаба, то есть Dependency-Track автоматически заводит задачки в нашей джире. А аппскринер выдает письмо если что-то не так в коде.

Sign up to leave a comment.

Articles