Halo! Di posting sebelumnya, kami berbicara secara detail tentang memilih dependensi dan menggunakan file kunci di npm , tetapi saya hanya menyentuh masalah keamanan secara sepintas. Saatnya memperbaiki kekurangan ini: ini dan posting berikutnya akan sepenuhnya dikhususkan untuk keamanan di npm! Dan pertama, kita akan melihat bagaimana keamanan dipastikan pada tingkat infrastruktur npm dan ekosistem secara keseluruhan.
Kami hidup dalam waktu yang berbahaya
, , , . , API , , . , ( , ). , - , , , , .
, , . , — .
npm
, , . , npm , .
, : npm , , .
, npm ^Lyft Security ( ) : Lyft npm , pen- . , Lyft Node Security Platform (NSP) [ Node], Node npm-. , 2018- npm Inc. ^Lyft Security, npm.
, npm , , (JavaScript). Node Security Platform npm , .
, 2020 GitHub (Microsoft) npm Inc., npm GitHub. , , GitHub — GitHub Security Lab. , Microsoft GitHub npm registry.
, npm , , npm .
npm . , . , . -, . , , , , TOR ( ).
, , , : , , .
, npm JavaScript, . , , , IP- URL, , . npm , Security Insight API. , .
npm . npm registry, (private) (, CI/CD-), .
, , , npm- GitHub. , npm, , .
, npm GitHub , ; npm , npm, , npm . , , , .
, npm , - (, production), , npm registry .
. , - , . Have I Been Pwned E-mail , . , GMail, 11 , 14 . , !
: , npm, , npm (, ), . , , (, , npm ).
. , npm 24/7, , . JavaScript, npm . npm 25 . .
(malware), npm, . , npm , .
, . npm , , , .
, npm security advisory. ( npm audit), , , . , ( ). , npm 48 , . npm , 45 , , .
npm, , , 20 % . npm 1427 (security advisories). . GitHub.
, , , : npm CLI , . .
npm , , , , .
, , , , . , , .
- , , .