nsp扫描问题

Question

我正在使用nsp扫描漏洞。我看到一种奇怪的行为。

在脚本、依赖项、devDependency部分中，我有以下内容

{
    "scripts": {
        "security-scan:nsp": "nsp check --threshold 10 --reporter json"
    },
    "dependencies": {
        "joi": "10.x",
        "dotenv": "4.0.0",
        "nsp": "3.2.1"
    },
    "devDependencies": {
        "lab": "14.x",
        "code": "4.x",
        "eslint": "4.1.1",
        "eslint-plugin-import": "2.7.0"
    }
}

如果我运行npm运行安全扫描: nsp ，我会发现一些漏洞，但是现在如果我将nsp从依赖项移动到devDependency并运行npm运行安全扫描:nsp，我没有得到任何vulnerability.Can的帮助。

Answer 1

Nsp不扫描Dev依赖项。新的npm audit命令会使用相同的漏洞数据库，但没有任何nsp格式选项。