Я тестирую JFrog Xray в сочетании с Artifactory и развернул проект nodejs npm как сборку для Artifactory, который затем был просканирован Xray. (Используя это руководство)
В свой package.json я включил зависимость, которая, как мне известно, имеет уязвимость (lodash 4.17.10). Когда я просматриваю проект в Xray, отображается статус «Проверено - нет проблем». Я также ожидал увидеть зависимости проекта от Xray, но я их не вижу.
Могу ли я увидеть зависимости для сборки npm? Поскольку проект зависит от уязвимого пакета, мне кажется странным, что Xray говорит, что проблем нет.