Sécurité dans les paquets Javascript

Fin novembre 2018, la communauté GitHub a signalé une grave vulnérabilité dans le système flux d'événements - qui permet de travailler avec nœud de manière plus efficace. Il était assez populaire, puisque le nombre de téléchargements au cours de cette période spécifique atteignait plus de 2,2 millions par semaine (par rapport à React avec 3,7 millions). Event-stream, ainsi que ses dépendances, dépendaient d'une autre bibliothèque - flatmap-steam, qui a été mis à jour avec un logiciel malveillant de type "crypto-pocket". Il permettait de voler des clés privées et d'autres détails des comptes des utilisateurs sur les machines où le paquet était intégré.

Finalement, flatmap-stream a été supprimé de NPM, ce qui a créé des problèmes temporels avec de nombreuses autres bibliothèques. En mai de la même année, la communauté a trouvé une porte dérobée à l'intérieur de le getcookie qui faisait partie de nombreuses autres dépendances. De tels exemples peuvent être multipliés, ce qui démontre qu'il est important de prêter attention aux dépendances installées dans un fichier projetNon seulement de la part de l'Union européenne, mais aussi de la part de l'Union européenne et de l'Union européenne. Javascript mais aussi dans un contexte général.

S'appuyer sur les solutions officielles et les grandes communautés

Dans la mesure du possible, il est important de s'appuyer sur des solutions officielles dans votre projet. Elles ne sont pas seulement moins vulnérables en raison d'un meilleur processus de développement. Une grande communauté, qui s'accompagne généralement d'une meilleure marque, permet d'identifier les problèmes beaucoup plus rapidement et, ce qui est plus important, de trouver de bonnes solutions.

Utiliser les tendances des MNP

Fig. 1 Tendance NPM Webpack.

Fig. 2. Tendance de la NPM en matière de flux d'événements.

Parfois, la connaissance de l'état actuel d'un paquet n'est pas représentative de son passé. Un rapide coup d'œil au tableau des tendances de npm peut vous montrer la tendance actuelle d'un paquet. Il ne montrera pas seulement les grands pics, où une vulnérabilité pourrait être trouvée, mais l'état général d'un paquet donné (NOTE : les grands pics sur google trends autour du 24 - 30 décembre représentent la saison des vacances, ce qui n'est pas nécessairement un problème). À titre d'exemple, jetez un coup d'œil à la figure 1, qui représente la tendance des téléchargements de Webpack par semaine. Vous verrez une croissance stable sans aucun point de rupture, ce qui peut suggérer que Webpack est un paquet stable et sûr à utiliser. D'un autre côté, la figure 2 montre une chute importante en novembre, ce qui indique clairement que quelque chose d'anormal a pu se produire au cours de cette période (ce qui est vrai, nous le savons déjà).

Audit de dépendance

La meilleure façon de vérifier l'état de vos dépendances est d'effectuer un audit. Cette commande est maintenant disponible nativement pour yarn et npm, bien qu'elle nécessite leurs dernières versions. Elle envoie une liste de dépendances actuelles à un point de terminaison approprié et renvoie des informations contenant leurs vulnérabilités actuelles et d'autres détails d'utilisation, y compris des références à la documentation. (figure3).

Fig. 3. Exemple de résultat de la commande npm audit. Source : https://docs.npmjs.com

La gestion des dépendances en Javascript n'est pas une tâche facile. Le nombre de solutions augmente chaque jour, alors n'oubliez pas de choisir vos dépendances judicieusement et avec soin. Continuez à auditer votre projet en cours et mettez à jour vos paquets régulièrement.

Pour en savoir plus sur les dépendances javascript et comment résoudre certains de leurs problèmes, veuillez consulter cet article.

Source :

1. https://github.com/dominictarr/event-stream/issues/116
2. https://blog.npmjs.org/post/180565383195/details-about-the-event-stream-incident
3. https://blog.npmjs.org/post/173526807575/reported-malicious-module-getcookies
4. https://docs.npmjs.com/auditing-package-dependencies-for-security-vulnerabilities
5. https://docs.npmjs.com/cli/audit
6. https://yarnpkg.com/lang/en/docs/cli/audit/