audit-project-server 1.0.0

package/src/utils.js

@@ -0,0 +1,384 @@
+import fs from "fs";
+import path from "path";
+import { exec } from "child_process";
+import { promisify } from "util";
+import { fileURLToPath } from "url";
+
+const execAsync = promisify(exec);
+
+const __filename = fileURLToPath(import.meta.url);
+const __dirname = path.dirname(__filename);
+
+const basePath = path.resolve(__dirname, ".."); // 向上回退一级到项目根目录
+const workDirPath = path.join(basePath, "work");
+
+fs.mkdirSync(workDirPath, { recursive: true });
+
+/**
+ * 创建工作目录
+ * @returns 工作目录路径
+ */
+export async function createdDirectory() {
+  // 创建一个workDir目录
+  try {
+    const workDir = path.join(workDirPath, Date.now().toString());
+    await fs.promises.mkdir(workDir, { recursive: true });
+    return workDir;
+  } catch (error) {
+    console.error(`Error creating directory: ${error.message}`);
+    throw error;
+  }
+}
+
+/**
+ * 删除工作目录 
+ * @param workDir 工作目录路径
+ */
+export async function deleteDirectory(workDir) {
+  await fs.promises.rm(workDir, { recursive: true, force: true });
+}
+
+
+/**
+ * 解析 GitHub 仓库 URL
+ * @param url GitHub 仓库 URL
+ * @returns { owner, repo, branch } 或 null
+ * 支持格式:
+ *   - https://github.com/lodash/lodash
+ *   - https://github.com/lodash/lodash/tree/4.17
+ *   - https://github.com/lodash/lodash/tree/main
+ */
+function parseGitHubUrl(url) {
+  // 匹配 GitHub URL 格式
+  // https://github.com/{owner}/{repo}/tree/{branch}
+  // https://github.com/{owner}/{repo}
+  const treeMatch = url.match(
+    /^https?:\/\/github\.com\/([^/]+)\/([^/]+)\/tree\/(.+)$/
+  );
+  if (treeMatch) {
+    return {
+      owner: treeMatch[1],
+      repo: treeMatch[2],
+      branch: treeMatch[3], // 可以是分支名或版本号
+    };
+  }
+
+  // 没有指定分支/版本，默认使用 main 或 master
+  const basicMatch = url.match(/^https?:\/\/github\.com\/([^/]+)\/([^/]+)\/?$/);
+  if (basicMatch) {
+    return {
+      owner: basicMatch[1],
+      repo: basicMatch[2],
+      branch: null, // 稍后尝试 main 或 master
+    };
+  }
+  return null;
+}
+
+/**
+ * 从 GitHub 远程仓库获取 package.json 内容
+ * @param owner 仓库所有者
+ * @param repo 仓库名称
+ * @param branch 分支名或版本号
+ * @returns package.json 内容
+ */
+async function fetchGitHubPackageJson(owner, repo, branch) {
+  // GitHub raw 文件 URL 格式
+  // https://raw.githubusercontent.com/{owner}/{repo}/{branch}/package.json
+  const branches = branch ? [branch] : ["main", "master"];
+
+  for (const b of branches) {
+    const rawUrl = `https://raw.githubusercontent.com/${owner}/${repo}/${b}/package.json`;
+    try {
+      const response = await fetch(rawUrl);
+      if (response.ok) {
+        const json = await response.json();
+        // 添加远程仓库元信息
+        json._remote = {
+          type: "github",
+          owner,
+          repo,
+          branch: b,
+          url: `https://github.com/${owner}/${repo}/tree/${b}`,
+        };
+        return json;
+      }
+    } catch (error) {
+      // 继续尝试下一个分支
+      console.error(`Failed to fetch from branch ${b}: ${error.message}`);
+    }
+  }
+
+  throw new Error(
+    `无法从 GitHub 仓库 ${owner}/${repo} 获取 package.json，尝试的分支: ${branches.join(", ")}`
+  );
+}
+
+/**
+ * 获取项目Package.json文件内容
+ * @param projectPath 项目路径 可能是本地项目 也可能是 远程项目
+ * @returns Package.json文件内容
+ * 
+ * 支持的远程仓库格式:
+ *   - https://github.com/lodash/lodash (默认使用 main 或 master 分支)
+ *   - https://github.com/lodash/lodash/tree/4.17 (指定版本)
+ *   - https://github.com/lodash/lodash/tree/main (指定分支)
+ */
+export async function getPackageJsonInfo(projectPath) {
+  if (projectPath.includes("https://") || projectPath.includes("http://")) {
+    // 远程项目
+    const githubInfo = parseGitHubUrl(projectPath);
+
+    if (githubInfo) {
+      // GitHub 仓库
+      const { owner, repo, branch } = githubInfo;
+      return await fetchGitHubPackageJson(owner, repo, branch);
+    } else {
+      // 其他远程 URL，尝试直接获取 package.json
+      // 假设 URL 直接指向 package.json 文件或项目根目录
+      let packageJsonUrl = projectPath;
+      if (!projectPath.endsWith("package.json")) {
+        packageJsonUrl = projectPath.replace(/\/?$/, "/package.json");
+      }
+
+      try {
+        const response = await fetch(packageJsonUrl);
+        if (response.ok) {
+          return await response.json();
+        }
+        throw new Error(`HTTP ${response.status}`);
+      } catch (error) {
+        throw new Error(`无法从远程 URL 获取 package.json: ${error.message}`);
+      }
+    }
+  } else {
+    // 本地项目
+    const PackageJsonPath = path.join(projectPath, "package.json");
+    const json = await fs.promises.readFile(PackageJsonPath, "utf-8");
+    return JSON.parse(json);
+  }
+}
+
+/**
+ * 检查依赖版本是否为特殊协议或非正常版本
+ * @param {string} version 版本字符串
+ * @returns {boolean} 是否为特殊协议或非正常版本
+ */
+function isSpecialVersion(version) {
+  if (!version) return false;
+  
+  // 检查是否为特殊协议
+  const specialProtocols = ['link:', 'file:', 'git:', 'git+ssh:', 'git+http:', 'git+https:', 'git+file:'];
+  for (const protocol of specialProtocols) {
+    if (version.startsWith(protocol)) {
+      return true;
+    }
+  }
+  
+  // 检查是否为非正常版本（不是有效的semver版本）
+  // 有效的semver版本示例: 1.0.0, ^1.0.0, ~1.0.0, >=1.0.0 <2.0.0
+  // 非正常版本示例: latest, next, beta, alpha, 其他字符串
+  const semverRegex = /^[~^]?\d+\.\d+\.\d+(-[0-9A-Za-z-]+(\.[0-9A-Za-z-]+)*)?(\+[0-9A-Za-z-]+(\.[0-9A-Za-z-]+)*)?$/;
+  const rangeRegex = /^[><=!~^]?\s*\d+\.\d+\.\d+/;
+  
+  if (semverRegex.test(version) || rangeRegex.test(version)) {
+    return false;
+  }
+  
+  // 如果是URL格式，也认为是特殊版本
+  if (version.includes('://') || version.includes('@')) {
+    return true;
+  }
+  
+  return true;
+}
+
+/**
+ * 过滤特殊依赖，返回过滤后的package.json和跳过的依赖列表
+ * @param {Object} packageJsonInfo 原始package.json内容
+ * @returns {Object} 包含过滤后的package.json和跳过的依赖列表
+ */
+function filterSpecialDependencies(packageJsonInfo) {
+  const filteredPackageJson = JSON.parse(JSON.stringify(packageJsonInfo));
+  const skippedDependencies = {
+    dependencies: [],
+    devDependencies: [],
+    peerDependencies: [],
+    optionalDependencies: []
+  };
+  
+  // 检查并过滤各种依赖类型
+  const depTypes = ['dependencies', 'devDependencies', 'peerDependencies', 'optionalDependencies'];
+  
+  for (const depType of depTypes) {
+    if (filteredPackageJson[depType]) {
+      const deps = filteredPackageJson[depType];
+      const filteredDeps = {};
+      
+      for (const [pkgName, version] of Object.entries(deps)) {
+        if (isSpecialVersion(version)) {
+          skippedDependencies[depType].push({
+            name: pkgName,
+            version: version,
+            reason: `特殊协议或非正常版本: ${version}`
+          });
+        } else {
+          filteredDeps[pkgName] = version;
+        }
+      }
+      
+      filteredPackageJson[depType] = filteredDeps;
+    }
+  }
+  
+  return {
+    filteredPackageJson,
+    skippedDependencies
+  };
+}
+
+/**
+ * 生成package-lock.json文件
+ * @param workDir 工作目录路径
+ * @param PackageJsonInfo Package.json文件内容
+ * @returns {Object} 包含成功状态和跳过的依赖信息
+ */
+export async function generatePackageLockJson(workDir, PackageJsonInfo) {
+  // 1. 过滤特殊依赖
+  const { filteredPackageJson, skippedDependencies } = filterSpecialDependencies(PackageJsonInfo);
+  
+  // 2. 将过滤后的package.json文件内容写入到工作目录的package.json文件中
+  await fs.promises.writeFile(
+    path.join(workDir, "package.json"),
+    JSON.stringify(filteredPackageJson, null, 2),
+  );
+
+  // console.log('filteredPackageJson', filteredPackageJson);
+  
+  
+  // 3. 执行 npm install --package-lock-only --ignore-scripts --force 命令
+  const cmd = "npm install --package-lock-only --ignore-scripts --force --registry=https://registry.npmjs.org";
+
+  try {
+    await execAsync(cmd, {
+      cwd: workDir,
+      env: process.env, // 继承当前环境变量
+    });
+    
+    return {
+      success: true,
+      skippedDependencies
+    };
+  } catch (error) {
+    // 如果命令失败，返回错误信息和跳过的依赖
+    console.error(`npm install failed: ${error.message}`);
+    return {
+      success: false,
+      error: error.message,
+      skippedDependencies
+    };
+  }
+}
+
+/**
+ * 执行npm audit命令
+ * @param workDir 工作目录路径
+ * @returns audit结果
+ */
+export async function projectAudit(workDir) {
+  // 指定返回成json格式的数据
+  const cmd = "npm audit --registry=https://registry.npmjs.org --json";
+  try {
+    // 情况 1: 无漏洞 -> 正常返回 stdout
+    const { stdout } = await execAsync(cmd, { cwd: workDir });
+    try {
+      JSON.parse(stdout);
+      return stdout;
+    } catch (parseError) {
+      console.error(
+        `Invalid JSON returned from npm audit: ${parseError.message}`,
+      );
+      console.error(`Raw output: ${stdout.substring(0, 200)}...`);
+      return JSON.stringify({
+        error: "Invalid JSON response from npm audit",
+        raw: stdout.substring(0, 500),
+      });
+    }
+  } catch (error) {
+    // 情况 2: 有漏洞 -> npm 会报错，但报告内容在 error.stdout 里
+    // 直接返回它，忽略错误本身
+    if (error.stdout) {
+      try {
+        JSON.parse(error.stdout);
+        return error.stdout;
+      } catch (parseError) {
+        console.error(`Invalid JSON in error.stdout: ${parseError.message}`);
+        console.error(`Raw error output: ${error.stdout.substring(0, 200)}...`);
+        return JSON.stringify({
+          error: "Invalid JSON in npm audit error response",
+          raw: error.stdout.substring(0, 500),
+        });
+      }
+    }
+    // 极端情况：连 stdout 都没有（比如命令不存在），则返回错误信息
+    return JSON.stringify({ error: error.message || "Unknown audit error" });
+  }
+}
+
+/**
+ * 根据输出格式渲染审计结果
+ * @param {string} auditResult JSON格式的npm audit结果
+ * @param {Object} packageJsonInfo package.json文件内容
+ * @param {string} outputFormat 输出格式：md、html、txt、dashboard
+ * @param {string} savePath 保存路径（不含扩展名）
+ * @returns {Promise<{filePath: string, outputFormat: string}>} 返回文件路径和输出格式
+ */
+export async function renderAuditResultByFormat(
+  auditResult,
+  packageJsonInfo,
+  outputFormat = "md",
+  savePath
+) {
+  // 导入渲染模块
+  const { renderAuditResult } = await import("./render/renderAuditResult.js");
+  const { renderAuditResultHTML } = await import("./render/renderAuditResultHTML.js");
+  const { renderAuditResultTXT } = await import("./render/renderAuditResultTXT.js");
+  const { renderAuditResultDashboard } = await import("./render/renderAuditResultDashboard.js");
+
+  // 定义格式扩展名映射
+  const formatExtensions = {
+    md: ".md",
+    html: ".html",
+    txt: ".txt",
+    dashboard: ".html",
+  };
+
+  const extension = formatExtensions[outputFormat] || ".md";
+  const fullSavePath = savePath.endsWith(extension)
+    ? savePath
+    : `${savePath}${extension}`;
+
+  let filePath;
+
+  switch (outputFormat) {
+    case "html":
+      await renderAuditResultHTML(auditResult, packageJsonInfo, fullSavePath);
+      filePath = fullSavePath;
+      break;
+    case "txt":
+      await renderAuditResultTXT(auditResult, packageJsonInfo, fullSavePath);
+      filePath = fullSavePath;
+      break;
+    case "dashboard":
+      await renderAuditResultDashboard(auditResult, packageJsonInfo, fullSavePath);
+      filePath = fullSavePath;
+      break;
+    case "md":
+    default:
+      await renderAuditResult(auditResult, packageJsonInfo, fullSavePath);
+      filePath = fullSavePath;
+      break;
+  }
+
+  return { filePath, outputFormat };
+}