【问题标题】:NPM (node package manager) security and votingNPM(节点包管理器)安全和投票
【发布时间】:2016-02-09 06:09:47
【问题描述】:

任何人都可以发布他们的 Node.js 包以打开 Node Package Manager (npm) 池。 是否对已发布的包进行任何安全检查,以确保新包不包含任何有害代码?

另外很有趣的是,是否有节点包的投票系统,以便我可以从一堆类似的节点包中选出投票最多的包?

【问题讨论】:

  • 我不知道有任何安全检查。您应该始终查看源代码以了解其在做什么。虽然没有投票系统,但您可以查看软件包每天、每周、每月的下载次数。通常社区不会使用质量差的软件包。因此,如果您看到没有人使用的东西,最好寻找更受欢迎的包。

标签: node.js security npm voting


【解决方案1】:

Node Security Platform 是一个旨在帮助开发人员做到这一点的工具!您可以通过多种方式测试项目依赖项是否存在已知漏洞 - 从命令行、与 CI 系统集成或与 github 集成。

漏洞是通过两个来源发现的:

  1. 经验丰富的 node.js 安全专家团队积极审核 npm 上的模块。
  2. 社区成员提交的内容,由上述团队验证。

它还可以免费使用命令行工具,以及与开源 github 存储库的集成。

如果您使用的是 npm 企业版,nsp 还与 npm 合作提供sidebar integration。这使您可以直接从 npme web ui 中查看漏洞信息,这听起来就像您正在寻找的一样。

就模块的流行程度而言,nodejsmodules.org 上有一个网站在某种程度上做到了这一点。我不时使用它,但请注意 - 他们有一个非常过期的 HTTPS 证书。

披露:我是 Node 安全平台背后的公司 ^Lift Security 的员工。

【讨论】:

    【解决方案2】:

    您还可以使用 https://nodesecurity.io/ 将安全检查添加到您的 GitHub 拉取请求流中。

    如果您在将模块拉入系统之前在 npmjs.com 上执行搜索,则 npmjs.com 上所有包的索引会考虑维护、质量等。"

    npm search 也是 npm 包投票的不错选择。

    npms 分析器不断分析 npm 生态系统,从各种来源(包括 GitHub、Davidnsp)收集尽可能多的信息。使用收集的信息,根据四个不同方面计算每个包裹的最终分数:质量、维护、受欢迎程度和个性

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2022-07-11
      • 1970-01-01
      • 1970-01-01
      • 2013-05-08
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-12-24
      相关资源
      最近更新 更多