lightswitch05/node-version-audit Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
lightswitch05/node-version-auditlightswitch05
Node Version Audit是一款便捷工具,用于检查指定Node.js版本的已知CVE漏洞、最新补丁、版本更新和生命周期状态,支持CLI、Docker等多种使用方式,规则每日自动更新,可集成于CI/CD工作流实现版本安全审计。
下载次数: 0状态:社区镜像维护者:lightswitch05仓库类型:镜像最近更新:6 个月前
Node Version Audit
Node Version Audit 是一款便捷工具,可轻松检查指定Node.js版本是否存在已知CVE漏洞、最新版本发布及生命周期结束日期,其规则列表每日自动更新。
Node Version Audit 不是:漏洞检测/缓解工具、特定厂商版本跟踪工具,也不能替代对Node.js发布和安全漏洞的主动关注。
核心功能与特性
- 列出指定Node.js版本的已知CVE漏洞
- 支持检查运行时Node.js版本或手动指定版本
- 显示指定版本的生命周期结束日期
- 显示指定版本的最新发布版本,支持按补丁/次要/主要版本级别筛选:
- 补丁级别:16.13.0 → 16.13.2
- 次要级别:16.13.0 → 16.14.2
- 最新版本:16.13.0 → 17.9.0
- 规则每日自动更新,信息直接来源于官方渠道,无需等待人工合并更新
- 多接口支持:CLI(通过NPM)、Docker、直接代码导入
- 易于脚本化,适用于CI/CD工作流,所有输出为JSON格式,可配合jq等工具处理
- 可配置退出条件,如使用
--fail-security标记在检测到CVE或版本不支持时返回非零退出码 - 零运行时依赖
使用场景
- CI/CD流水线中的Node.js版本安全合规性检查
- 开发环境中Node.js版本漏洞和更新状态审计
- 容器化应用部署前的版本安全性验证
- 定期版本维护计划制定(基于生命周期结束日期)
- 封闭网络环境中的Node.js版本安全状态评估(需提前更新规则)
使用方法
Docker 部署示例
检查指定Node.js版本
bashdocker run --rm -t lightswitch05/node-version-audit:latest --version=17.9.0
检查主机Node.js版本
bashdocker run --rm -t lightswitch05/node-version-audit:latest --version=$(node -e "console.log(process.versions.node)")
代理环境下使用(受限网络)
需挂载包含可信证书(.crt扩展名)的目录,详情参见update-ca-certificates:
bashdocker run --rm -t \ -e https_proxy='[***] \ --volume /full/path/to/trusted/certs/directory:/usr/local/share/ca-certificates \ lightswitch05/node-version-audit:latest --version=17.9.0
配置参数说明
| 参数 | 描述 |
|---|---|
--help | 显示帮助信息并退出 |
--version=VERSION | 指定要审计的Node.js版本,默认使用运行时版本(Docker环境下必填) |
--fail-security | 若检测到CVE漏洞或安全支持已结束,返回退出码10 |
--fail-support | 若版本不再获得主动(bug)支持,返回退出码20 |
--fail-patch | 若存在更新的补丁版本,返回退出码30 |
--fail-minor | 若存在更新的次要版本,返回退出码40 |
--fail-latest | 若存在更新的最新版本,返回退出码50 |
--no-update | 不下载最新规则(不推荐) |
--silent | 不在STDERR输出错误信息 |
--v | 设置日志级别:-v=警告,-vv=信息,-vvv=调试,默认仅输出错误(STDERR) |
输出说明
审计结果以JSON格式输出,包含以下字段:
| 字段 | 类型 | 描述 |
|---|---|---|
auditVersion | string | 被审计的Node.js版本 |
hasVulnerabilities | bool | 该版本是否存在已知CVE漏洞 |
hasSupport | bool | 该版本是否仍在支持周期内 |
supportType | string | 支持状态:'current'(当前)、'active'(主动)、'maintenance'(维护)、'none'(无) |
isLatestPatchVersion | bool | 是否为最新补丁版本(如17.9.x) |
isLatestMinorVersion | bool | 是否为最新次要版本(如17.x.x) |
isLatestVersion | bool | 是否为最新版本(如x.x.x) |
latestPatchVersion | string | 最新补丁版本 |
latestMinorVersion | string | 最新次要版本 |
latestVersion | string | 最新Node.js版本 |
activeSupportEndDate | string | 主动支持结束日期(ISO8601格式,可能为null) |
supportEndDate | string | 维护支持结束日期(ISO8601格式,可能为null) |
rulesLastUpdatedDate | string | 规则最后更新日期(ISO8601格式) |
vulnerabilities | object | 已知CVE详情,键为CVE ID,值包含漏洞评分、发布日期、描述等信息(新发现CVE可能为null) |
项目目标
- 始终使用最新信息,若信息过期(超过2周)则工具失败。因工具旨在帮助用户了解版本状态,自身必须保持更新。
- 若请求信息不可用(如未知版本12.50.0或0.9.0)则失败。工具需确保提供可靠信息,避免返回无效结果。
- 支持开放和封闭网络环境(需提前更新规则)。
- 最小资源占用和依赖(零运行时依赖)。
- 支持最旧的受支持Node.js版本运行。若使用不受支持的Node.js版本运行此工具,结果已明确:存在漏洞且版本过时。
致谢与许可
- 本项目基于Apache License 2.0许可发布。
- 本项目提供的信息准确性无法保证,所有功能仅为便捷工具,不应依赖其准确性或及时性。
- Logo基于Mathias Pettersson和Brian Hammond的Node.js Logo修改,添加了覆盖图形。
- 本项目及修改后的Node.js Logo未获Mathias Pettersson、Brian Hammond或OpenJS Foundation认可。
- CVE详情来源于美国国家标准与技术研究院的国家漏洞数据库,本项目及CVE信息使用未获NIST或NVD认可,CVE详情仅为便捷提供,准确性无法验证。
- Node.js发布详情和支持日期来源于更新日志和发布计划,准确性无法验证。
Copyright © 2022 Daniel White
nodered/node-red
nodered
事件驱动型应用的低代码编程是一种通过可视化拖拽、预设组件及模型驱动等方式,简化事件触发逻辑(如用户交互、系统通知、数据变更等)设计与开发流程的技术方法,能有效降低开发门槛,让开发者无需深入编写复杂代码即可快速构建响应实时事件的应用,支持敏捷迭代和业务需求快速落地,广泛应用于自动化流程、实时监控、用户交互系统等场景,显著提升开发效率与应用交付速度。
756 次收藏1亿+ 次下载
18 天前更新
node
Docker 官方镜像
Node.js是一个基于JavaScript的跨平台运行时环境,主要用于构建高效的服务器端和网络应用程序,它采用单线程、非阻塞I/O及事件驱动模型,依托Chrome V8引擎实现快速代码执行,能够高效处理大量并发请求,广泛适用于实时通信系统、API服务、微服务架构等场景,让开发者可使用JavaScript同时进行前后端开发,显著提升开发效率与系统性能。
1.4万 次收藏10亿+ 次下载
13 天前更新
nodered/node-red-dev
nodered
Node-RED项目的开发/测试构建版本(非稳定版)
8 次收藏10万+ 次下载
1 个月前更新
cimg/node
cimg
CircleCI Node.js Docker便捷镜像是为Node.js项目提供的预配置Docker镜像,旨在简化CI/CD流程中的环境设置,方便开发者快速集成和部署应用。
26 次收藏5亿+ 次下载
18 天前更新
circleci/node
circleci
CircleCI Node.js镜像基于官方Node.js镜像扩展,包含开发和CI常用工具(如git、ssh、docker等),提供浏览器测试变体,默认使用非root用户,适用于CI/CD环境中的Node.js项目构建与测试。
135 次收藏1亿+ 次下载
4 年前更新
bitnami/node
bitnami
Bitnami 提供的 Node.js 安全镜像,基于 Photon Linux 构建,具有强化安全特性、最小漏洞、合规支持和供应链安全保障,适用于快速部署安全可靠的 Node.js 应用。
83 次收藏1000万+ 次下载
20 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"