จากคราวที่แล้ว ผมได้แนะนำ ขั้นตอนแก้ไขเบื้องต้นเมื่อเจอช่องโหว่ใน Dependency ของ Nodejs ไป
ขั้นตอนแก้ไขเบื้องต้นเมื่อเจอช่องโหว่ใน Dependency ของ Nodejsเมื่อเราใช้ trivy scan หาช่องโหว่
เมื่อเราใช้ trivy scan หาช่องโหว่ Dependency ใน Nodejs เจอแล้ว ให้ดูว่า Library ไหนที่โดน ดูว่าติดตั้ง version ไหน และดูว่ามันได้รับการแก้ไขที่ version
เวลาที่เราติดตั้งโมดูลใหม่ด้วยคำสั่ง npm i --save มันก็จะไปทำการเขียนข้อมูลลงใน package.json ให้โดยมีชื่อโมดูลและเลขเวอร์ชั่นกำกับประมาณนี้
"dependencies": {
"lodash"
สำหรับใครที่ต้องการสุ่มอักษรเพื่อไปใช้งานสำหรับ JWT หรือ session หรือ cookie เพื่อไว้ใช้งานสามารถทำได้ดังนี้
NodeJs
$ node -e "console.log(require('crypto').randomBytes(
ใครเคยมีความคิดอยากอัพเดทเวอร์ชั่นทุก dependency ใน package.json บ้างยกมือขึ้น... ผมนั้นเอง เลยไปหาวิธีการได้ดังนี้
$ npm install -g npm-check-updates
$ ncu -u
$ npm install
หรือ
$ npx