Turvallisuus Javascript-paketeissa

Marraskuun 2018 lopulla GitHub-yhteisö raportoi vakavasta haavoittuvuudesta GitHubin event-stream - paketti, joka auttaa työskentelemään solmu tapahtumia tehokkaammin. Se oli melko suosittu, sillä latausten määrä kyseisenä ajanjaksona oli yli 2,2 miljoonaa viikossa (verrattuna React:hen, jonka latausmäärä oli 3,7 miljoonaa). Event-stream ja sen riippuvuudet olivat riippuvaisia toisesta kirjastosta - flatmap-steam, joka sattui olemaan päivitetty kryptotaskun haittaohjelmalla. Se mahdollisti yksityisten avainten ja muiden tietojen varastamisen käyttäjien tileiltä koneilta, joihin paketti oli niputettu.

Lopulta flatmap-stream poistettiin NPM:stä, mikä aiheutti ajallisia ongelmia monien muiden kirjastojen kanssa. Saman vuoden toukokuussa yhteisö löysi takaoven tiedostoista getcookie paketti, joka oli osa monia muitakin riippuvuuksia. Tällaisia esimerkkejä voi olla vaikka kuinka monta, mikä osoittaa, että on tärkeää kiinnittää huomiota riippuvuuksiin, jotka on asennettu osaksi projekti, ei ainoastaan Javascript näkökulmasta, mutta myös yleisessä kontekstissa.

Luotetaan virallisiin ratkaisuihin ja laajoihin yhteisöihin

On tärkeää, että projektissasi luotat mahdollisuuksien mukaan virallisiin ratkaisuihin. Ne eivät ole vähemmän haavoittuvia vain siksi, että niiden kehitysprosessi on parempi. Suuri yhteisö, johon yleensä liittyy parempi brändi, auttaa tunnistamaan ongelmat paljon nopeammin ja - mikä tärkeintä - löytämään hyviä ratkaisuja.

Käytä NPM-trendejä

Kuva 1 Webpackin NPM-trendi.

Kuva 2. Tapahtumavirran NPM-suuntaus.

Joskus tieto paketin nykytilasta ei välttämättä edusta sen menneisyyttä. Nopea vilkaisu npm trends -kaavioon voi näyttää todellisen paketin trendit. Se ei näytä vain suuria huippuja, joissa jokin haavoittuvuus voisi löytyä, vaan tietyn paketin yleisen tilan (HUOMAUTUS: suuret huiput google trendsissä lähellä 24.-30. joulukuuta edustavat lomasesonkia, joka ei välttämättä edusta ongelmaa). Katso esimerkiksi kuviota 1, joka kuvaa Webpackin viikoittaista lataustrendiä. Näet vakaan kasvun ilman katkeamispisteitä, mikä voi viitata siihen, että Webpack on vakaa ja turvallinen paketti käytettäväksi. Toisaalta kuviossa 2 näet suuren pudotuksen marraskuussa, mikä on selvä merkki siitä, että kyseisenä ajanjaksona on voinut tapahtua jotain väärää (minkä me jo tiedämme olevan totta).

Riippuvuustarkastus

Paras ja luotettavin tapa tarkistaa riippuvuussuhteiden tila on suorittaa riippuvuusanalyysi tarkastus. Tämä komento on nyt käytettävissä sekä yarnissa että npm:ssä, vaikka se vaatii niiden uusimmat versiot. Se lähettää luettelon nykyisistä riippuvuuksista oikeaan päätepisteeseen ja palauttaa tiedot, jotka sisältävät niiden nykyiset haavoittuvuudet ja muut käyttötiedot, mukaan lukien viittaukset dokumentaatioon. (kuva3).

Kuva 3. Esimerkki npm audit -komennon tuloksesta. Lähde: https://docs.npmjs.com

Riippuvuuksien hallinta Javascriptissä ei ole helppo tehtävä. Ratkaisujen määrä kasvaa päivittäin, joten muista valita riippuvuudet viisaasti ja huolellisesti. Tarkasta jatkuvasti nykyinen projektisi ja päivitä pakettisi säännöllisesti.

Lisätietoja javascript-riippuvuuksista ja niiden aiheuttamien ongelmien ratkaisemisesta, tarkista tämä artikkeli.

Lähde:

1. https://github.com/dominictarr/event-stream/issues/116
2. https://blog.npmjs.org/post/180565383195/details-about-the-event-stream-incident
3. https://blog.npmjs.org/post/173526807575/reported-malicious-module-getcookies
4. https://docs.npmjs.com/auditing-package-dependencies-for-security-vulnerabilities
5. https://docs.npmjs.com/cli/audit
6. https://yarnpkg.com/lang/en/docs/cli/audit/