salut! Dans les articles précédents, nous avons parlé en détail du choix des dépendances et de l' utilisation des fichiers de verrouillage dans npm , mais je n'ai abordé les problèmes de sécurité qu'au passage. Il est temps de résoudre ce problème: cet article et le prochain seront entièrement consacrés à la sécurité dans npm! Et d'abord, nous examinerons comment la sécurité est assurée au niveau de l'infrastructure npm et de l'écosystème dans son ensemble.
Nous vivons à une époque dangereuse
, , , . , API , , . , ( , ). , - , , , , .
, , . , — .
npm
, , . , npm , .
, : npm , , .
, npm ^Lyft Security ( ) : Lyft npm , pen- . , Lyft Node Security Platform (NSP) [ Node], Node npm-. , 2018- npm Inc. ^Lyft Security, npm.
, npm , , (JavaScript). Node Security Platform npm , .
, 2020 GitHub (Microsoft) npm Inc., npm GitHub. , , GitHub — GitHub Security Lab. , Microsoft GitHub npm registry.
, npm , , npm .
npm . , . , . -, . , , , , TOR ( ).
, , , : , , .
, npm JavaScript, . , , , IP- URL, , . npm , Security Insight API. , .
npm . npm registry, (private) (, CI/CD-), .
, , , npm- GitHub. , npm, , .
, npm GitHub , ; npm , npm, , npm . , , , .
, npm , - (, production), , npm registry .
. , - , . Have I Been Pwned E-mail , . , GMail, 11 , 14 . , !
: , npm, , npm (, ), . , , (, , npm ).
. , npm 24/7, , . JavaScript, npm . npm 25 . .
(malware), npm, . , npm , .
, . npm , , , .
, npm security advisory. ( npm audit), , , . , ( ). , npm 48 , . npm , 45 , , .
npm, , , 20 % . npm 1427 (security advisories). . GitHub.
, , , : npm CLI , . .
npm , , , , .
, , , , . , , .
- , , .