npm et GitHub avaient chacun une base de données contenant des milliers de failles référencées, afin que les développeurs puissent rapidement savoir si leurs projets utilisaient des composants vulnérables, par exemple des cadriciels (frameworks).
Mais puisque npm fait partie de GitHub, la question de la redondance était posée. GitHub avertit ainsi que la commande npm audit puise désormais dans la GitHub Advisory Database. La commande est surtout utilisée dans les projets Node.js pour vérifier les dépendances.
La GitHub Advisory Database (GAD) comprend des renseignements sur environ 5 000 failles et alimente déjà des outils comme Dependabot. Toutes les données de la base npm y avaient été versées l’année dernière.
GitHub a finalement ajouté un proxy sur sa base de données afin qu’elle puisse « parler » avec le protocole spécifique à npm audit. Toutes les versions de la CLI npm prenant en charge audit discutent donc avec la GAD désormais.
Commentaires (0)