TORNA INDIETRO
Ogni giorno la quantità di pacchetti Javascript cresce. È il risultato dell'attività di una comunità che, da un lato, richiede nuove soluzioni, dall'altro le genera come forma di autosviluppo o realizzazione. Una crescita così ampia apre nuove porte e possibilità, ma comporta anche dei pericoli, di cui ogni sviluppatore deve essere consapevole.
A fine novembre 2018, la comunità di GitHub ha segnalato una grave vulnerabilità in flusso di eventi - che aiuta a lavorare con nodo eventi in modo più efficiente. Era abbastanza popolare, dato che la quantità di download in quel periodo specifico raggiungeva oltre 2,2 milioni a settimana (rispetto a React con 3,7 milioni). Event-stream, così come le sue dipendenze, dipendevano da un'altra libreria, la mappa piatta-vapore, che è stato aggiornato con un malware crypto-pocket. Esso consentiva di rubare chiavi private e altri dettagli dagli account degli utenti sulle macchine in cui il pacchetto era stato distribuito.
Alla fine, flatmap-stream è stato rimosso da NPM, creando problemi temporali con molte altre librerie. Nel maggio dello stesso anno, la comunità ha trovato una backdoor all'interno di il getcookie che faceva parte anche di molte altre dipendenze. Questi esempi si possono moltiplicare, a dimostrazione del fatto che è importante prestare attenzione alle dipendenze installate in un file progetto, non solo dalla Javascript prospettiva, ma anche in un contesto generale.
Per quanto possibile, è importante affidarsi a soluzioni ufficiali nel vostro progetto. Non sono solo meno vulnerabili grazie a un processo di sviluppo migliore. Una grande comunità, che di solito è accompagnata da un marchio migliore, aiuta a identificare i problemi molto più velocemente e, cosa più importante, a trovare buone soluzioni.
Fig. 1 Tendenza di Webpack NPM.
Fig. 2. Tendenza NPM event-stream.
A volte, la conoscenza dello stato attuale di un pacchetto può non rappresentare il suo passato. Una rapida occhiata al grafico delle tendenze di npm può mostrare l'andamento effettivo di un pacchetto. Mostrerà non solo i grandi picchi, dove potrebbe essere trovata qualche vulnerabilità, ma anche la condizione generale di un dato pacchetto (NOTA: i grandi picchi su google trends vicino al 24-30 dicembre rappresentano la stagione delle vacanze, che potrebbe non rappresentare necessariamente un problema). A titolo di esempio, date un'occhiata alla figura 1, che rappresenta l'andamento dei download di Webpack per settimana. Si può notare una crescita stabile senza punti di rottura, il che può suggerire che Webpack è un pacchetto stabile e sicuro da usare. D'altro canto, nella figura 2 si può notare un forte calo nel mese di novembre, che è un chiaro segnale che qualcosa di sbagliato potrebbe essere accaduto in quel periodo (cosa che sappiamo già essere vera).
Il modo migliore e più affidabile per verificare lo stato delle dipendenze è quello di eseguire un'analisi di tipo revisione contabile. Questo comando è ora disponibile in modo nativo sia per yarn che per npm, anche se richiede le loro ultime versioni. Invia un elenco di dipendenze correnti a un endpoint appropriato e restituisce informazioni contenenti le loro vulnerabilità attuali e altri dettagli di utilizzo, compresi i riferimenti alla documentazione. (figura3).
Fig. 3. Esempio di risultato del comando npm audit. Fonte: https://docs.npmjs.com
La gestione delle dipendenze in Javascript non è un compito facile. Il numero di soluzioni cresce di giorno in giorno, quindi ricordate di scegliere le vostre dipendenze con saggezza e attenzione. Continuate a controllare il vostro progetto attuale e aggiornate regolarmente i pacchetti.
Per saperne di più sulle dipendenze javascript e su come risolvere alcuni dei loro problemi, controllare questo articolo.
Fonte:
Italian 
English 
German 
Swedish 
Danish 
Norwegian 
Finnish 
French 
Arabic 
Japanese 
Korean 
Polish