你好!在之前的文章中,我们详细讨论了如何在npm中选择依赖项和使用锁定文件,但我只是顺便谈到了安全性问题。现在是解决这个问题的时候了:本期和下一篇文章将完全致力于npm中的安全性!首先,我们将研究如何在npm基础架构和整个生态系统的层次上确保安全性。
, , , . , API , , . , ( , ). , - , , , , .
, , . , — .
npm
, , . , npm , .
, : npm , , .
, npm ^Lyft Security ( ) : Lyft npm , pen- . , Lyft Node Security Platform (NSP) [ Node], Node npm-. , 2018- npm Inc. ^Lyft Security, npm.
, npm , , (JavaScript). Node Security Platform npm , .
, 2020 GitHub (Microsoft) npm Inc., npm GitHub. , , GitHub — GitHub Security Lab. , Microsoft GitHub npm registry.
, npm , , npm .
npm . , . , . -, . , , , , TOR ( ).
, , , : , , .
, npm JavaScript, . , , , IP- URL, , . npm , Security Insight API. , .
npm . npm registry, (private) (, CI/CD-), .
, , , npm- GitHub. , npm, , .
, npm GitHub , ; npm , npm, , npm . , , , .
, npm , - (, production), , npm registry .
. , - , . Have I Been Pwned E-mail , . , GMail, 11 , 14 . , !
: , npm, , npm (, ), . , , (, , npm ).
. , npm 24/7, , . JavaScript, npm . npm 25 . .
(malware), npm, . , npm , .
, . npm , , , .
, npm security advisory. ( npm audit), , , . , ( ). , npm 48 , . npm , 45 , , .
npm, , , 20 % . npm 1427 (security advisories). . GitHub.
, , , : npm CLI , . .
npm , , , , .
, , , , . , , .
- , , .